Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
Bezuidenhoutseweg 30, 2594 AV Den Haag
T 070 8888 500 - F 070 8888 501
autoriteitpersoonsgegevens.nl

Vertrouwelijk/Aangetekend
[VERTROUWELIJK]

Contactpersoon
[VERTROUWELIJK]

Onderwerp
Besluit tot het opleggen van een bestuurlijke boete

Geachte [VERTROUWELIJK],

De Autoriteit Persoonsgegevens (AP) heeft besloten aan Bureau Krediet Registratie (BKR) een bestuurlijke boete van €830.000,-- op te leggen. De AP is van oordeel dat BKR artikel 12, vijfde lid, van de AVG vanaf 25 mei 2018 tot en met 28 april 2019 heeft overtreden, omdat BKR niet kosteloos op elektronische wijze inzage in persoonsgegevens heeft gegeven aan betrokkenen in het kader van het recht op inzage. Daarnaast is de AP tot de conclusie gekomen dat BKR tussen 25 mei 2018 tot en met 12 maart 2019 artikel 12, tweede lid, van de AVG heeft overtreden, doordat BKR het recht van inzage ingevolge artikel 15 van de AVG niet heeft gefaciliteerd.

Hierna wordt het besluit nader toegelicht. Hoofdstuk 1 betreft een inleiding en hoofdstuk 2 beschrijft het wettelijk kader. In hoofdstuk 3 beoordeelt de AP haar bevoegdheid, de verwerkingsverantwoordelijkheid en de overtredingen. In hoofdstuk 4 wordt de (hoogte van de) bestuurlijke boete uitgewerkt en hoofdstuk 5 bevat het dictum en de rechtsmiddelenclausule.

2/23

1. Inleiding 1.1 Betrokken rechtspersonen

Bureau Krediet Registratie (BKR) betreft een stichting die statutair is gevestigd op de Teisterbantlaan 2a, (4006 EB) te Tiel. BKR is op 14 januari 1965 opgericht en is in het register van de Kamer van Koophandel ingeschreven onder nummer 11009074. BKR verzamelt financiële gegevens van ongeveer 11 miljoen betrokkenen bij aangesloten kredietaanbieders.

1.2 Procesverloop

De AP is op 6 juli 2018 een onderzoek gestart naar de naleving van de artikelen 12 en 15 van de Algemene verordening gegevensbescherming (AVG) door BKR. Hierbij hebben toezichthouders van de AP in de periode van 6 juli 2018 tot en met 13 november 2018 op meerdere momenten de website van BKR bezocht en daar screenshots gemaakt en bestanden gedownload. De AP heeft ten slotte drie schriftelijke informatieverzoeken gestuurd waarop BKR telkens op tijd heeft gereageerd.

De AP heeft op 25 februari 2019 een conceptrapport aan BKR gezonden. BKR heeft hierop op 12 maart 2019 per brief haar zienswijze gegeven. Met inachtneming van deze reactie heeft de AP het definitieve rapport vastgesteld. Dit rapport is bij brief van 17 april 2019 aan BKR toegezonden.

Bij brief van 15 mei 2019 heef de AP aan BKR een voornemen tot handhaving toegezonden. Daartoe tevens bij brief van 15 mei 2019 door de AP in de gelegenheid gesteld, heeft BKR bij brief van 4 juni 2019 schriftelijk haar zienswijze gegeven over dit voornemen en het daaraan ten grondslag gelegde definitieve rapport.

Op 4 juni 2019 heeft ten kantore van de AP een zienswijzezitting plaatsgevonden waarbij BKR ook mondeling haar zienswijze heeft toegelicht. Bij e-mail van 14 juni 2019 heeft BKR desgevraagd nadere informatie nagezonden.

Bij brief van 17 juni 2019 heeft de AP het verslag van de zienswijzezitting aan BKR toegestuurd. BKR heeft op 3 juli 2019 haar opmerkingen op het verslag kenbaar gemaakt, welke de AP aan het verslag heeft gehecht.

Op 3 juli 2019 heeft de AP aan BKR nadere informatie gevraagd, welke BKR op 12 juli 2019 heeft toegezonden.

1.3 Aanleiding en reikwijdte onderzoek

De AP heeft na 25 mei 2018 diverse klachten ontvangen van betrokkenen die stellen dat BKR drempels opwerpt bij het uitoefenen van het inzagerecht door betrokkenen. Daarin werd gesteld dat BKR de

3/23

elektronische inzage tot persoonsgegevens niet kosteloos aanbiedt en dat BKR aangeeft dat zij alleen één keer per jaar (per post) kosteloos inzage kunnen krijgen in de verwerkte persoonsgegevens. Mede in het licht van deze klachten heeft de AP aanleiding gezien om onderzoek te doen naar hoe BKR het recht op inzage faciliteert.

Volledigheidshalve merkt de AP op dat haar onderzoek zich heeft gericht op de naleving van een aantal vereisten rondom het inzagerecht en dat zij geen onderzoek heeft gedaan naar de vraag of de verwerking van persoonsgegevens door BKR voor het overige voldoet aan de vereisten van de AVG.

2. Wettelijk kader 2.1 Reikwijdte AVG

Ingevolge artikel 2, eerste lid, van de AVG is deze verordening van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

Ingevolge artikel 3, eerste lid, van de AVG is deze verordening van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.

Ingevolge artikel 4 van de AVG wordt voor de toepassing van deze verordening verstaan onder: 1. “Persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); […]. 2. “Verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés […]. 7. “Verwerkingsverantwoordelijke”: een […] rechtspersoon die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; […].

2.2 Recht op inzage

Ingevolge artikel 12, tweede lid, van de AVG faciliteert de verwerkingsverantwoordelijke de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 15 tot en met 22. […].

Ingevolge artikel 12, vijfde lid, van de AVG geschiedt het verstrekken van de in de artikelen 13 en 14 bedoelde informatie, en het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 15 tot en met 22 en artikel 34 kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke ofwel: a) een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het

4/23

treffen van de gevraagde maatregelen gepaard gaan; ofwel b) weigeren gevolg te geven aan het verzoek. Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.

Ingevolge artikel 15, eerste lid, van de AVG heeft de betrokkene het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie: a) de verwerkingsdoeleinden; b) de betrokken categorieën van persoonsgegevens; c) de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties; d) indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen; e) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken; f) dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit; g) wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens; h) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

Ingevolge artikel 15, derde lid, van de AVG verstrekt de verwerkingsverantwoordelijke aan de betrokkene een kopie van de persoonsgegevens die worden verwerkt. Indien de betrokkene om bijkomende kopieën verzoekt, kan de verwerkingsverantwoordelijke op basis van de administratieve kosten een redelijke vergoeding aanrekenen. Wanneer de betrokkene zijn verzoek elektronisch indient, en niet om een andere regeling verzoekt, wordt de informatie in een gangbare elektronische vorm verstrekt.

2.3 Bestuurlijke boete

Ingevolge artikel 58, tweede lid, aanhef en onder i, in samenhang met artikel 83, vijfde lid, aanhef en onder b, van de AVG en artikel 14, derde lid, van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) is de AP bevoegd om ten aanzien van inbreuken op de AVG een bestuurlijke boete op te leggen.

2.3.1. AVG Ingevolge artikel 83, eerste lid, van de AVG zorgt elke toezichthoudende autoriteit ervoor dat de administratieve geldboeten die uit hoofde van dit artikel worden opgelegd voor de in de leden 4, 5 en 6 vermelde inbreuken op deze verordening in elke zaak doeltreffend, evenredig en afschrikkend zijn. Ingevolge het tweede lid worden administratieve geldboeten, naargelang de omstandigheden van het concrete geval, opgelegd naast of in plaats van de in artikel 58, tweede lid, onder a tot en met h en onder j, bedoelde maatregelen. Uit het vijfde lid, aanhef en onder b, volgt dat een inbreuk op de rechten van betrokkenen van artikel 12 en artikel 15 van de AVG overeenkomstig lid 2 onderworpen is aan een administratieve geldboete tot €

5/23

20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.

2.3.2 UAVG Ingevolge artikel 14, derde lid, van de UAVG kan de AP in geval van overtreding van het bepaalde in artikel 83, vierde, vijfde of zesde lid, van de verordening een bestuurlijke boete opleggen van ten hoogste de in deze leden genoemde bedragen.

3. Beoordeling 3.1 Verwerking van persoonsgegevens

BKR beheert het Centraal Krediet Informatiesysteem (CKI) en biedt verschillende digitale producten aan, waaronder de BKR Insolventie Toets, BKR Sanctie Toets, de Politically Exposed Person (PEP) en het BKR Verificatie Informatie Systeem (VIS).1 In deze producten worden door BKR gegevens over identificeerbare natuurlijke personen verwerkt.2 Derhalve is er sprake van verwerking van persoonsgegevens, wat ook door BKR niet is betwist.

3.2 Verwerkingsverantwoordelijke

De AP is van oordeel dat BKR doelen en middelen van de gegevensverwerking bepaalt voor de producten CKI, BKR Insolventie Toets, BKR Sanctie Toets, de PEP en VIS. Zo bepaalt BKR waarvoor de gegevens gebruikt worden, wie de persoonsgegevens ontvangt, de bewaartermijn en of BKR persoonsgegevens verstrekt aan derden buiten de Europese Unie.3 BKR bepaalt daarnaast voor het product CKI welke persoonsgegevens aangesloten kredietaanbieders moeten aanleveren. Ook bepaalt BKR daarbij in welke termijn de persoonsgegevens aangeleverd moeten worden.4 BKR bevestigt ook zelf in haar privacyverklaring dat zij voor deze producten geldt als verwerkingsverantwoordelijke.5

Op grond van het bovenstaande merkt de AP BKR aan als verwerkingsverantwoordelijke als bedoeld in artikel 4, aanhef en onder 7, van de AVG.

1 Met BKR Insolventie Toets kan een kredietverstrekker nagaan of een betrokkene te maken heeft (gehad) met faillissementen, surseances van betaling en/of schuldsaneringen. Kredietverstrekkers kunnen verder met BKR Sanctie Toets, voordat zij een krediet verlenen, onderzoeken of een betrokkene voorkomt op een sanctielijst. Kredietverstrekkers zijn daarnaast verplicht om, voordat zij een krediet verlenen, een verscherpt cliëntenonderzoek te doen als de aanvrager een politiek prominent persoon is of wanneer de aanvrager niet in Nederland woont of niet de Nederlandse nationaliteit heeft. Hiervoor kunnen zij BKR Politically Exposed Person (PEP) raadplegen. Met het BKR Verificatie Informatie Systeem (VIS) kunnen bedrijven en overheden nagaan of een identiteitsdocument geldig is. 2 Privacyverklaring BKR, 21 augustus 2018 en antwoorden van de BKR op schriftelijke vragen van de AP, 19 december 2018. 3 Website BKR en Privacyverklaring BKR, 21 augustus 2018. 4 Algemeen Reglement CKI van BKR, 25 mei 2018. 5 Privacyverklaring BKR, 21 augustus 2018.

6/23

3.3 Overtreding inzake kosteloze inzage persoonsgegevens

3.3.1 Inleiding Voor natuurlijke personen dient het transparant te zijn dat hun persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt.6 Inzage in persoonsgegevens zorgt er onder andere voor dat de betrokkene kan controleren of de verwerking rechtmatig is. Een goede invulling van het inzagerecht is verder noodzakelijk om andere rechten te kunnen uitoefenen, zoals het recht op rectificatie en het recht op gegevenswissing.

Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt.7 Transparantie is als beginsel dan ook in de AVG gecodificeerd.

Artikel 15, eerste lid, van de AVG bepaalt dat de betrokkene het recht heeft om van de verwerkingsverantwoordelijke inzage te verkrijgen in de hem betreffende persoonsgegevens die door de verwerkingsverantwoordelijke worden verwerkt. Artikel 12, vijfde lid, van de AVG bepaald voorts dat de verstrekking van informatie op basis van het inzagerecht in artikel 15 van de AVG kosteloos dient te geschieden. De verwerkingsverantwoordelijke kon tot en met 24 mei 2018 op grond van artikel 39 van de Wet bescherming persoonsgegevens hiervoor nog kosten in rekening brengen.

Overweging 59 van de AVG geeft nadere duiding aan de norm uit artikel 12 van de AVG: Er dienen regelingen voorhanden te zijn om de betrokkene in staat te stellen zijn rechten uit hoofde van deze verordening gemakkelijker uit te oefenen, zoals mechanismen om te verzoeken om met name inzage in en rectificatie of wissing van persoonsgegevens en, indien van toepassing, deze gratis te verkrijgen, alsmede om het recht van bezwaar uit te oefenen. De verwerkingsverantwoordelijke dient ook middelen te verstrekken om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt. [.]

Op grond van artikel 15, derde lid, van de AVG verstrekt de verwerkingsverantwoordelijke de betrokkene een kopie van de persoonsgegevens die worden verwerkt. Indien de betrokkene om bijkomende kopieën verzoekt, kan de verwerkingsverantwoordelijke op basis van de administratieve kosten een redelijke vergoeding aanrekenen. Wanneer de betrokkene zijn verzoek elektronisch indient, en niet om een andere regeling verzoekt, wordt de informatie in een gangbare elektronische vorm verstrekt.

De AP komt in het navolgende tot de conclusie dat BKR van 25 mei 2018 tot en met 28 april 2019 persoonsgegevens niet kosteloos heeft verstrekt aan betrokkenen wanneer zij via elektronische wijze om inzage verzochten. BKR overtrad daarmee artikel 12, vijfde lid, van de AVG.

3.3.2 Feiten BKR biedt op haar website twee mogelijkheden aan om inzage te verkrijgen in de persoonsgegevens die BKR verwerkt. De eerste mogelijkheid tot inzage is een betaalde dienst (abonnement) die betrokkenen die

6 Overweging 39 van de AVG. 7 Idem.

7/23

inzage wensen in hun persoonsgegevens toegang verschaft tot een elektronische klantomgeving. Drie abonnementsvormen worden aangeboden door BKR: Basis à 4,95 euro per jaar, Plus à 7,50 euro per jaar en Premium à 12,50 euro per jaar.8

De tweede mogelijkheid is dat betrokkenen via de website een inzageformulier downloaden, deze uitprinten, het formulier handmatig invullen en die per post in combinatie met een kopie van het identiteitsbewijs sturen naar een postbusnummer. BKR verlangt voor deze wijze van inzage geen betaling.9

BKR heeft in haar zienswijze aangegeven dat zij conform de AVG het inzagerecht heeft gefaciliteerd door een eenvoudige en duidelijke procedure in te richten en de consument daarbij de keuze te laten: de consument kan kiezen voor inzage per post of inzage langs elektronische weg.10 BKR heeft daarnaast bevestigd dat zij de hierboven genoemde drie betaalde abonnementsvormen voor de elektronische inzage in persoonsgegevens in de periode van 25 mei 2018 tot en met 28 april 2019 heeft gehanteerd.11 Op 29 april 2019 heeft BKR een kosteloze elektronische inzage geïntroduceerd.12

3.3.3 Beoordeling Betrokkenen kunnen bij BKR op elektronische wijze inzage vragen in hun persoonsgegevens. BKR verstrekt de persoonsgegevens vervolgens op elektronische wijze aan betrokkenen, wat in lijn is met artikel 15, derde lid, van de AVG. Daarin staat dat naar aanleiding van een elektronisch ingediend verzoek de informatie ook in een gangbare elektronische vorm verstrekt moet worden, als de betrokkene niet om een andere regeling verzoekt.

Op grond van artikel 12, vijfde lid, van de AVG dient BKR vervolgens kosteloos inzage te bieden in de persoonsgegevens. Het is echter voor een betrokkene niet mogelijk om kosteloos op elektronische wijze inzage te verkrijgen in de persoonsgegevens die BKR over hem of haar verwerkt. De betrokkene moet immers voor de (eerste) toegang tot de persoonsgegevens betalen (minimaal 4,95 euro). De AP is daarom van oordeel dat BKR artikel 12, vijfde lid, van de AVG heeft overtreden, nu BKR persoonsgegevens niet kosteloos heeft verstrekt aan betrokkenen wanneer zij via elektronische wijze om inzage verzochten.

Zienswijze BKR en reactie AP BKR stelt in haar zienswijze het niet eens te zijn met de conclusie van de AP dat BKR artikel 12, vijfde lid, van de AVG overtreedt. BKR meent dat, met inachtneming van artikel 5 van de AVG, zij geen inzageproces via e-mail mogelijk kan maken omdat BKR o.a. geen BSN mag verwerken. Daarnaast is BKR van mening dat overweging 59 van de AVG onderstreept dat het naast elkaar aanbieden van een gratis inzagemogelijkheid per post en een betaalde elektronische inzage in lijn is met de AVG.

8 Website BKR, onderdeel Opvragen gegevens, 21 augustus 2018. 9 Website BKR, onderdeel AVG inzage, 21 augustus 2018. 10 Schriftelijke zienswijze BKR d.d. 3 juni 2019, p. 6. 11 Gespreksverslag zienswijzezitting d.d. 17 juni 2019, p. 21 en 22. 12 Schriftelijke zienswijze BKR d.d. 3 juni 2019, p. 11 en Gespreksverslag zienswijzezitting d.d. 17 juni 2019, p. 21 en 22.

8/23

Ten slotte heeft BKR aangegeven dat bij de elektronische inzage de consument voor een elektronisch product kiest dat hem 'een jaar lang inzage' geeft. Het repetitieve karakter staat daarmee vast. Daarvoor mag volgens BKR op grond van artikel 12, vijfde lid, en artikel 15, derde lid, van de AVG een redelijke vergoeding in rekening worden gebracht.13

De AP volgt BKR hierin niet. Ten eerste kan een verwerkingsverantwoordelijke persoonsgegevens in zijn algemeenheid via verschillende elektronische wegen verstrekken aan de betrokkenen. Voor de vaststelling of deze verstrekking kosteloos geschiedt, is niet relevant of BKR dit wel of niet in de vorm van een e-mail kan uitvoeren. Ten tweede volgt uit overweging 59 van de AVG niet dat een verwerkingsverantwoordelijke naast een gratis inzage per post een betaalde elektronische inzage mag hanteren. Deze overweging benoemt dat de verwerkingsverantwoordelijke ook middelen dient te verstrekken om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt. Artikel 12, vijfde lid, van de AVG en de eerste zin van overweging 59 van de AVG benadrukken vervolgens juist dat deze regeling voor inzage kosteloos dient te geschieden.

Ten slotte volgt de AP BKR niet in het standpunt dat bij haar elektronisch product het repetitieve karakter van de inzageverzoeken van betrokkenen vast staat. Betrokkenen die vaker dan één keer per jaar inzage willen in hun persoonsgegevens, worden gedwongen om een abonnement af te sluiten bij BKR. Volgens BKR staat het repetitieve karakter van de verzoeken vast, ongeacht hoe vaak de betrokkene per jaar gebruik maakt van het abonnement. BKR is daarom van mening dat zij een vergoeding mag vragen. De AP acht dit een doelredenering die gebaseerd is op een op voorhand mogelijke onjuiste veronderstelling waar BKR een vaste werkwijze op heeft gebaseerd. Het feit dat een betrokkene na de betaling een jaar lang inzage kan krijgen in de gegevens in een digitaal portaal maakt nog niet dat er gesproken kan worden van verzoeken met een repetitief karakter. BKR verzoekt bij de elektronische inzage immers al bij de eerste inzage om een vergoeding. Op dat moment is er in ieder geval nog geen sprake van een repetitief karakter. Indien de betrokkene na de eerste inzage opnieuw meerdere inzage verzoeken in een korte periode doet, dan is het op grond van artikel 12, vijfde lid, van de AVG aan BKR om per geval aan te tonen of er sprake is van een buitensporig verzoek waarvoor een redelijke vergoeding gevraagd kan worden. Daarnaast heeft BKR verklaard dat veruit de meeste betrokkenen één keer per jaar een inzageverzoek indienen. Eén keer per jaar inzage verzoeken is naar het oordeel van de AP overigens niet zodanig veel dat dit in het algemeen gekwalificeerd kan worden als een buitensporig verzoek van een betrokkene door het repetitieve karakter ervan.

3.3.4 Conclusie Gelet op het voorgaande is de AP van oordeel dat BKR artikel 12, vijfde lid, van de AVG vanaf 25 mei 2018 tot en met 28 april 2019 heeft overtreden, nu BKR niet kosteloos op elektronische wijze inzage in persoonsgegevens heeft gegeven aan betrokkenen in het kader van het recht op inzage.

13 Schriftelijke zienswijze BKR d.d. 3 juni 2019, p. 6 en 8, en Gespreksverslag zienswijzezitting d.d. 17 juni 2019, p. 8.

9/23

3.4 Overtreding inzake het faciliteren van het recht op inzage

3.4.1. Inleiding In het kader van het transparantiebeginsel moet de verwerkingsverantwoordelijke de uitoefening van de rechten van de betrokkene, zoals het recht op inzage, faciliteren. Zoals eerder vermeld moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt.14 Inzage in persoonsgegevens zorgt er onder andere voor dat de betrokkene kan controleren of de verwerking rechtmatig is. Een goede invulling van het inzagerecht is verder noodzakelijk om andere rechten te kunnen uitoefenen, zoals het recht op rectificatie en het recht op gegevenswissing.

De verwerkingsverantwoordelijke moet op grond van artikel 12, tweede lid, van de AVG de uitoefening van de rechten van de betrokkene uit hoofde van - onder meer - artikel 15 van de AVG faciliteren. In overweging 63 van de AVG staat verder dat de betrokkene het recht moet hebben om de persoonsgegevens die over hem zijn verzameld in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen.

De AP komt in het navolgende tot de conclusie dat BKR van 25 mei 2018 tot en met 12 maart 2019 artikel 12, tweede lid, van de AVG heeft overtreden, doordat BKR met haar beleid, waarin wordt gesteld dat één keer per jaar per post een verzoek tot inzage gedaan kan worden, het recht van inzage ingevolge artikel 15 van de AVG niet heeft gefaciliteerd.

3.4.2 Feiten BKR heeft aan betrokkenen uitgedragen dat de mogelijkheid om kosteloos per post inzage te verkrijgen in de persoonsgegevens die BKR van een betrokkene verwerkt, zich beperkt tot één keer per jaar. Dit blijkt allereerst uit de privacyverklaring van BKR. Daarin staat15: “Iedereen heeft het recht om één keer per jaar kosteloos alle persoons- en kredietgegevens die in het CKI zijn geregistreerd in te zien. De inzage wordt op papier verstrekt op het opgegeven huisadres. […]

Indien u inzage wilt hebben in uw gegevens in het PEP-registratiesysteem, kunt u hetzelfde formulier gebruiken als voor inzage in uw persoonsgegevens in het Centraal Krediet Informatiesysteem (CKI). Ook deze inzage wordt één keer per jaar kosteloos gegeven .[…]

Indien u inzage wilt hebben in uw gegevens in het VIS-registratiesysteem, kunt u hetzelfde formulier gebruiken als voor inzage in uw persoonsgegevens in het Centraal Krediet Informatiesysteem (CKI). Ook deze inzage wordt één keer per jaar kosteloos gegeven.”

De AP stelt daarnaast vast dat BKR dit beleid op haar website actief uitdraagt. Op de webpagina met titel ‘Opvragen Gegevens’ beschrijft BKR een stappenplan waarmee een betrokkene zijn eigen gegevens kan inzien. Een tekstblok onderaan deze pagina heeft als titel ‘AVG inzage’. Daar vermeldt BKR het volgende:

14 Idem. 15 Privacyverklaring BKR, 21 augustus 2018.

10/23

‘U kunt een keer per jaar kosteloos inzage doen in uw gegevens. Wilt u snel inzicht of heeft u het overzicht nodig voor kredietaanvragen? Kies dan voor BKR Basis, Plus of Premium. De AVG inzage wordt binnen 28 dagen op papier aangeleverd.‘16

Na het klikken op de knop ‘Ga Verder’ verschijnt een webpagina met de titel ‘AVG inzage’. Op deze pagina is het bovenstaande in exact dezelfde bewoordingen te lezen.17

Uit e-mails die de AP van betrokkenen heeft ontvangen is daarnaast gebleken dat betrokkenen zich bij BKR hebben beklaagd over het feit dat zij slechts één keer per jaar per post inzage kunnen krijgen in hun persoonsgegevens die BKR verwerkt. Zo vraagt een betrokkene op 30 mei 2018 per e-mail aan info@bkr.nl waarom het recht op inzage slechts één keer per jaar kan worden uitgeoefend. In het antwoord op die e-mail schrijft BKR op 7 juni 2018: ‘En dan als laatste spreekt de wet AVG over gratis recht op inzage met redelijke tussenpozen. Hiervoor heeft BKR gekozen voor eenmaal per jaar kosteloze inzage.’.18

In een e-mail van 19 juni 2018 schrijft BKR aan een andere betrokkene: “Vanaf 25 mei 2018 heeft u het recht om een keer per jaar gratis een overzicht van uw gegevens bij Stichting BKR op te vragen. Op https://www.bkr.nl/opvragen-gegevens/ziet u hoe u dit doet. Hiermee voldoen wij aan de AVG-eisen.”.19

BKR heeft tijdens de zienswijzezitting aangegeven dat zij in de praktijk meerdere verzoeken tot inzage per jaar toe laat en dat aan de aanvragen die via de AVG aanvraagformulieren per post gedaan worden geen kosten verbonden zijn voor de consument. Daarnaast heeft BKR verklaard dat zij wel wil voorkomen dat er echt bovenmatig inzage gevraagd wordt.20 BKR heeft ten slotte aangegeven dat zij, op basis van het rapport ‘ACCIS 2017 Survey of Members, Analysis of Credit Reporting in Europe’ van de Association of Consumer Credit Information Suppliers 21 en eigen ervaringsfeiten, met bovengenoemd beleid invulling heeft gegeven aan de term ‘redelijke tussenpozen’ uit de AVG.22

BKR heeft bevestigd dat zij het hierboven genoemde beleid over het inzagerecht van 25 mei 2018 tot en met 12 maart 2019 via de privacyverklaring en de website heeft gehanteerd. Per 13 maart 2019 is BKR gestaakt met deze communicatie.23

3.4.3 Beoordeling BKR moet als verwerkingsverantwoordelijke op grond van artikel 12, tweede lid, van de AVG de uitoefening van het recht op inzage faciliteren. De betrokkene moet dit recht eenvoudig en met redelijke tussenpozen kunnen uitoefenen.

16 Website BKR, onderdeel Opvragen gegevens, 21 augustus 2018. 17 Website BKR, onderdeel AVG inzage, 21 augustus 2018. 18 Toegestuurde communicatie tussen een klager en de BKR, door de AP ontvangen op 10 oktober 2018. 19 Klachtformulier door de AP ontvangen op 22 juni 2018. 20 Gespreksverslag zienswijzezitting d.d. 17 juni 2019, p. 13. 21 ‘ACCIS 2017 Survey of Members, Analysis of Credit Reporting in Europe’ van de Association of Consumer Credit Information Suppliers, maart 2018. 22 Gespreksverslag zienswijzezitting d.d. 17 juni 2019, p. 7. 23 Schriftelijke zienswijze BKR d.d. 3 juni 2019, p 11. en Gespreksverslag zienswijzezitting d.d. 17 juni 2019, p. 27.

11/23

Uit de hierboven beschreven feiten volgt dat BKR actief aan betrokkenen het beleid heeft uitgedragen dat betrokkenen per post het recht hebben om één keer per jaar kosteloos alle persoonsgegevens in te zien, dat deze inzage door BKR één keer per jaar kosteloos wordt gegeven en de betrokkene één keer per jaar kosteloos inzage kan doen.

De AP is van oordeel dat BKR met het uitdragen van dit beleid het inzagerecht van de betrokkene belemmert. Hiermee werpt BKR een drempel op. Het maximeren van één kosteloos inzageverzoek per post per jaar kwalificeert niet als het faciliteren van het recht op inzage als bedoeld in artikel 12, tweede lid, van de AVG. BKR dient het recht op inzage te faciliteren en juist niet te bemoeilijken door met het uitdragen van bovengenoemd beleid betrokkenen op voorhand te ontmoedigen het recht op inzage uit te oefenen.

De AP komt tot de conclusie dat BKR artikel 12, tweede lid, van de AVG heeft overtreden, doordat BKR met haar beleid, waarin wordt gesteld dat één keer per jaar per post een verzoek tot inzage gedaan kan worden, het recht van inzage ingevolge artikel 15 van de AVG niet heeft gefaciliteerd.

Zienswijze BKR en reactie AP BKR kan zich niet vinden in het standpunt van de AP. BKR hanteert als uitgangspunt dat één keer per jaar gratis inzage geldt als een redelijke termijn. Uit onderzoek van Association of Consumer Credit Information Suppliers (ACCIS) volgt dat consumenten gemiddeld één keer per jaar een verzoek doen om inzage in hun kredietstatus. BKR merkt daarnaast op dat het bij 'redelijke tussenpozen' zoals genoemd in overweging 63 om een open norm gaat die door de AP nog niet eerder is ingevuld. En gezien de ervaringsfeiten uit de praktijk, waaruit blijkt dat één keer per jaar inzage prima aansluit bij de informatiebehoefte van de consument, vindt BKR het niet vreemd dat zij een inzagemogelijkheid die meer dan één keer per jaar wordt uitgeoefend als 'repetitief' kwalificeert, dan wel als een 'bijkomende kopie'. Feitelijk is er hoe dan ook geen drempel geweest volgens BKR, omdat zij in de praktijk het inzagerecht (op schrift, gratis) vaker dan één keer per jaar heeft gefaciliteerd.

BKR is daarnaast niet met de AP van mening dat een inzageverzoek een individuele beoordeling per betrokkene veronderstelt. Op grond van artikel 12, vijfde lid, van de AVG kan volgens BKR geconcludeerd worden dat een inzageverzoek met een repetitief karakter als 'buitensporig' gekwalificeerd mag worden. Er wordt in artikel 12, vijfde lid, van de AVG immers gesproken van verzoeken die buitensporig zijn, met name vanwege hun repetitieve karakter. Om een dergelijk karakter vast te stellen is volgens BKR geen (uitgebreide) individuele beoordeling nodig. Ten slotte stelt BKR zich op het standpunt dat de AVG juist wel mogelijkheid biedt om invulling te geven aan de beweegredenen van betrokkene om inzage te verlangen. Het is aan de verwerkingsverantwoordelijke om een repetitief karakter vast te stellen en te handelen naar de opties die de wet in een dergelijke situatie geeft.

De AP volgt de zienswijze van BKR niet. Voor zover BKR het beleid van kosteloze inzage van één keer per jaar legitimeert door te verwijzen naar het rapport ‘ACCIS 2017 Survey of Members, Analysis of Credit Reporting in Europe’ van ACCIS en andere kredietinformatiebureaus, volgt de AP BKR niet. De tabel op pagina 26 van

12/23

het rapport geeft weer hoeveel betrokkenen in 2017 dienden te betalen om hun kredietstatusrapport in te zien bij 32 Europese kredietinformatiebureaus. Uit het feit dat 8 van de 32 bureaus (respondenten) in 2017 eenmaal per jaar kosteloos inzage boden, volgt niet dat consumenten gemiddeld één keer per jaar een verzoek doen om inzage in hun kredietstatus. Nog daargelaten dat dit rapport niet relevant is voor de invulling van het recht op inzage en dat dit geen argument voor BKR kan zijn om een soortgelijk beleid te hanteren. Ten tweede benadrukt de AP dat zij niet heeft beoordeeld of BKR werkelijk inzage geeft aan een betrokkene die vaker dan één keer per jaar om inzage in persoonsgegevens verzoekt. De AP heeft beoordeeld of het uitgedragen beleid omtrent het recht op inzage van BKR in lijn is met artikel 12, tweede lid, van de AVG.

BKR mag verder op grond van artikel 12, vijfde lid, van de AVG het verzoek tot inzage slechts weigeren indien verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege het repetitieve karakter van het verzoek om inzage. Hierover merkt de AP allereerst op dat artikel 12, vijfde lid, van de AVG juist een individuele beoordeling van een verzoek van de betrokkene veronderstelt. In dit artikel wordt immers bepaald dat een weigering om gevolg te geven aan een verzoek pas kan plaatsvinden, als het verzoek kennelijk ongegrond of buitensporig is. Dit vereist een beoordeling op het moment dat het verzoek is ingediend en voorafgaand aan een inhoudelijke afhandeling van het verzoek. In de laatste zin van artikel 12, vijfde lid, van de AVG staat daarnaast dat de verwerkingsverantwoordelijke de kennelijke buitensporige aard van het verzoek moet aantonen. Het woord ‘verzoek’ staat hier als enkelvoud. Gezien de tekst en de bedoeling van artikel 12, vijfde lid, van de AVG zal BKR aldus per individueel geval moeten beoordelen of er sprake is van een buitensporig verzoek. Het beleid van BKR is tot slot ook niet in lijn met overweging 63 van de AVG waarin staat dat de betrokkenen het recht moet hebben om het inzagerecht eenvoudig en met redelijke tussenpozen uit te kunnen oefenen. BKR faciliteert met het uitdragen van haar beleid via de website, privacyverklaring en e-mails het recht op inzage aldus niet. 3.4.4 Conclusie Gelet op het voorgaande komt de AP tot de conclusie dat BKR tussen 25 mei 2018 tot en met 12 maart 2019 artikel 12, tweede lid, van de AVG heeft overtreden, doordat BKR het recht van inzage ingevolge artikel 15 van de AVG niet heeft gefaciliteerd.

3.5 Volledige inzage in persoonsgegevens

3.5.1 Inleiding Voor natuurlijke personen dient het transparant te zijn dat hun persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt.24 Inzage in persoonsgegevens zorgt er onder andere voor dat de betrokkene kan controleren of de verwerking rechtmatig is.

Ingevolge artikel 15, eerste lid, van de AVG heeft de betrokkene het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens.

24 Overweging 39 van de AVG.

13/23

De AP heeft onderzocht of BKR aan betrokkenen inzage geeft in alle persoonsgegevens die zij over de betrokkene verwerkt. De AP komt in het hiernavolgende tot de conclusie dat BKR beleid voert dat BKR geen volledige inzage biedt in persoonsgegevens. De AP heeft echter niet vastgesteld dat BKR ook daadwerkelijk onvolledige inzage heeft geboden bij individuele betrokkenen, waarmee een overtreding van artikel 15, eerste lid, van de AVG niet is komen vast te staan.

3.5.2 Feiten Zoals in paragraaf 3.1 reeds genoemd beheert BKR het CKI en biedt het verschillende digitale producten aan, waaronder de BKR Insolventie Toets, BKR Sanctie Toets, de Politically Exposed Person (PEP) en het BKR Verificatie Informatie Systeem (VIS). In deze producten worden door BKR gegevens over identificeerbare natuurlijke personen verwerkt.

BKR heeft tijdens het onderzoek het volgende verklaard:25

“Bij de AVG inzage ontvangt de betrokkene naast de persoonsgegevens die met betrekking tot hem/haar in het CKI zijn verwerkt, informatie of hij/zij als een politiek prominente persoon staat geregistreerd en een melding over de geldigheid van het document waarmee hij/zij zich heeft geïdentificeerd. Omdat deze persoonsgegevens op dit moment nog niet digitaal kunnen worden ontsloten, worden deze mededelingen niet bij de betaalde diensten meegeleverd. Bovendien vindt bij de betaalde diensten de legitimatie niet met een kopie ID plaats.

De persoonsgegevens in het kader van insolventie en sanctietoetsen worden ontleend aan publieke databases en worden niet ontsloten middels de inzageverzoeken.”

BKR heeft verder in haar zienswijze aangegeven dat zij voor wat betreft de insolventie- en sanctietoets de betrokkenen verwijst naar de bronregisters die publiekelijk toegankelijk zijn.26 Daarnaast heeft BKR verklaard dat zij vanaf 28 mei 2019, naast het CKI, voortaan ook elektronische inzage biedt in persoonsgegevens die BKR verwerkt in haar overige producten.27 Tot slot heeft BKR aangegeven dat zij technische voorzieningen treft om per post ook inzage te bieden in persoonsgegevens die BKR verwerkt in het kader van de insolventie- en sanctietoets. De geplande invoerdatum hiervoor is 3 september 2019.28

3.5.3 Beoordeling BKR verwerkt als verwerkingsverantwoordelijke in haar producten verschillende persoonsgegevens. Artikel 15, eerste lid, van de AVG geeft aan dat de betrokkene het recht heeft om inzage te verkrijgen van de hem betreffende persoonsgegevens die een verwerkingsverantwoordelijke verwerkt. BKR heeft echter verklaard dat zij na een verzoek van de betrokkene geen inzage biedt in alle persoonsgegevens die zij verwerkt. Hierdoor blijft de betrokkene in onwetendheid ten aanzien van een deel van zijn gegevens die de BKR verwerkt.

25 Schriftelijke reactie BKR van 9 november 2018, p. 4, antwoord op vraag 2. 26 Schriftelijke zienswijze BKR d.d. 3 juni 2019, p. 8 en 10. 27 Schriftelijke zienswijze BKR d.d. 3 juni 2019, p. 11. 28 Schriftelijke reactie BKR van 12 juli 2019, antwoord op vraag 1b.

14/23

De AP is van oordeel dat BKR beleid voert dat BKR geen volledige inzage biedt in persoonsgegevens. Echter, de AP heeft niet vastgesteld dat BKR ook daadwerkelijk onvolledige inzage heeft geboden bij individuele betrokkenen, waarmee een overtreding van artikel 15, eerste lid, van de AVG niet is komen vast te staan.

BKR heeft daarnaast in haar zienswijze verklaard dat zij reeds volledige elektronische inzage biedt in persoonsgegevens en heeft dat aan de hand van voorbeelden bij de zienswijzezitting nader toegelicht. Verder heeft BKR gesteld dat zij begin september voorzieningen zal treffen om ook per post volledige inzage in persoonsgegevens te bieden. Daarmee heeft BKR het hiervoor vermelde beleid aangepast, of zal dit doen, zodat dat niet langer strijdig is met artikel 15, eerste lid, van de AVG.29

3.5.4 Conclusie De AP komt tot de conclusie dat BKR beleid voert dat BKR geen volledige inzage biedt in persoonsgegevens. De AP heeft echter niet vastgesteld dat BKR ook daadwerkelijk onvolledige inzage heeft geboden bij individuele betrokkenen, waarmee een overtreding van artikel 15, eerste lid, van de AVG niet is komen vast te staan.

3.6 Overige onderdelen zienswijze BKR heeft naast de hiervoor genoemde zienswijze nog enkele andere zienswijzen naar voren gebracht. De AP zet deze punten uit de zienswijze van BKR hieronder kort uiteen, voorzien van een reactie van de AP.

BKR betoogt dat de AP in strijd heeft gehandeld met de zorgvuldigheidsvereisten. Ten eerste heeft de AP in het onderzoeksrapport uiteengezet dat zij haar onderzoek is gestart na klachten, terwijl de AP telefonisch heeft aangegeven dat er sprake is van een ambtshalve onderzoek. De AP heeft ten tweede in het rapport de aanleiding voor het onderzoek overdreven, doordat van de zes klachten er sprake was van twee tips die niet te kwalificeren zijn als een klacht. Ook valt volgens BKR het aantal van vier klachten in de genoemde periode in het niet bij het totaal aantal betrokkenen die in het CKI staan, het totaal ontvangen inzageverzoeken en het aantal klachten dat de AP vanaf 25 mei 2018 heeft ontvangen. Het rapport bevat daarnaast suggestieve passages. Ten derde heeft de AP volgens BKR in strijd gehandeld met artikel 8.1 van de eigen Beleidsregels openbaarmaking van 12 januari 2016 (hierna: Beleidsregels openbaarmaking) door te twitteren dat de AP diverse klachten tegen BKR over het inzagerecht in behandeling had, zonder dit bericht eerst aan BKR voor te leggen.30 Conform artikel 8.1 van de Beleidsregels openbaarmaking dient iedere mededeling over een onderzochte (rechts)persoon immers aan die (rechts)persoon te worden voorgelegd.

De AP volgt de zienswijze van BKR niet. Onder verwijzing naar vaste rechtspraak is ten eerste geen voorafgaand redengevend feit, signaal, grond of vermoeden vereist voor de uitoefening van toezichtsbevoegdheden en het starten van een onderzoek. Het aantal en de inhoud van de door AP

29 De AP zal een controle uitvoeren of BKR aan betrokkenen volledige inzage in persoonsgegevens biedt. 30 Twitterbericht AP van 12 december 2018 met de tekst: ‘Wij hebben diverse klachten over BKR en recht op inzage in behandeling. Privacywet #AVG heeft duidelijke regels rond het recht op inzage en de vergoeding daarvoor. Meer weten over het recht op inzage? Zie autoriteitpersoonsgegevens.nl/nl/zelf-doen/p… … @BKR_TIEL’

15/23

ontvangen signalen is in dit kader dan ook niet relevant.31 In dit geval heeft de AP in de klachten aanleiding gezien om onderzoek te doen naar de naleving van de AVG door BKR. De AP heeft haar bevindingen vervolgens feitelijk in het onderzoeksrapport vastgelegd. Of al dan niet van tevoren is medegedeeld wat de aanleiding was voor de inzet van toezichtsbevoegdheden doet aan de rechtmatigheid en zorgvuldigheid van het onderzoek niet af.

Ten tweede volgt de AP ook niet het standpunt van BKR dat de AP in strijd heeft gehandeld met artikel 8.1 van de Beleidsregels openbaarmaking. Daargelaten of het twitterbericht onder dit artikel valt, heeft de inhoud hiervan geen directe betrekking op het gevoerde onderzoek dan wel het voorliggende besluit en doet evenmin af aan de daaraan te stellen eisen van zorgvuldigheid en rechtmatigheid.

BKR heeft verder aangevoerd dat de AP verzoeken van BKR om in overleg te treden over oplossingen heeft afgewezen, waardoor BKR de kans is ontnomen om snel tot een werkbare oplossing te komen. Ook heeft de AP volgens BKR onzorgvuldig gehandeld doordat de AP de toezegging van BKR, dat zij de noodzakelijke maatregelen zal treffen om tegemoet te komen aan bevindingen, heeft genegeerd en niet heeft opgenomen in het rapport met definitieve bevindingen. Ten slotte stelt BKR dat de AP ook met twee maten meet, omdat de AP volgens haar jaarverslag wel het gesprek is aangegaan met organisaties die persoonsgegevens verkopen.

De AP volgt ook deze zienswijze van BKR niet. Als uitgangspunt heeft te gelden dat BKR een eigen verantwoordelijkheid heeft om zich reeds vanaf inwerkingtreding van de AVG aan de daarin gestelde regels te houden.32 De AP hoeft in de onderzoeksfase niet in overleg te treden, maar de verwerkingsverantwoordelijke kan altijd wijzigingen in zijn of haar werkwijze aan de AP voorleggen. BKR heeft tijdens de zienswijzezitting de mogelijkheid gekregen om haar zienswijze over de inhoud van de bevindingen van de AP en het voornemen tot handhaving naar voren te brengen. Hierdoor is BKR niet in haar verdediging geschaad. Tot slot kan de AP het argument dat de AP met twee maten meet door met andere organisaties die persoonsgegeven verkopen wel het gesprek aan te gaan mede niet volgen. Daargelaten met welke partijen de AP gesprekken voert, sluit het niet de bevoegdheid van de AP uit om te handhaven bij evidente overtredingen.

De AP ziet naar aanleiding van de zienswijze van BKR geen aanleiding om tot andere conclusies te komen.

31 Vgl. CBb 12 oktober 2017, ECLI:NL:CBB:2017:326, CBb 12 oktober 2017, ECLI:NL:CBB:2017:327, Rb. Rotterdam 23 mei 2019, ECLI:NL:RBROT:2019:4155. 32 Zie ook CBb 25 juni 2013, ECLI:NL:CBB:2013:4, r.o. 2.3, CBb 25 januari 2017, ECLI:NL:CBB:2017:14, r.o. 5.2, CBb 8 maart 2017, ECLI:NL:CBB:2017:91, r.o. 6.

16/23

4. Boete 4.1 Inleiding BKR heeft vanaf 25 mei 2018 tot en met 28 april 2019 niet kosteloos op elektronische wijze inzage gegeven in persoonsgegevensgegeven aan betrokkenen in het kader van het recht op inzage. Daarnaast heeft BKR vanaf 25 mei 2018 tot en met 12 maart 2019 aan betrokkenen uitgedragen dat de mogelijkheid om per post inzage te verkrijgen in de persoonsgegevens die BKR betreffende de betrokkene verwerkt, zich beperkt tot één keer per jaar. Daarmee heeft BKR het recht op inzage niet gefaciliteerd.

De AP maakt in beide vastgestelde overtredingen gebruik van haar bevoegdheid om aan BKR een boete op te leggen op grond van artikel 58, tweede lid, aanhef en onder i en artikel 83, vijfde lid, van de AVG, gelezen in samenhang met artikel 14, derde lid, van de UAVG. De AP hanteert hiervoor de Boetebeleidsregels 2019.33

BKR heeft in haar zienswijze aangevoerd dat de Boetebeleidsregels 2019 ten tijde van de gedraging niet toepasselijk en daardoor onvoorzienbaar waren voor BKR, hetgeen in strijd is met het in artikel 3:4, tweede lid, Algemene wet bestuursrecht vervatte verbod van willekeur. De AP volgt BKR hierin niet. Zoals vermeld op pagina 19 van de Boetebeleidsregels 2019, heeft dit beleid betrekking op het bepalen van de hoogte van een boete omwille van de rechtsgelijkheid en rechtszekerheid. Het toepassen van de Boetebeleidsregels 2019 voorkomt juist willekeur.

In het hiernavolgende zal de AP eerst kort de boetesystematiek uiteenzetten, gevolgd door de motivering van de boetehoogte in de onderhavige gevallen.

4.2 Boetebeleidsregels Autoriteit Persoonsgegevens 2019 (Boetebeleidsregels 2019) Ingevolge artikel 58, tweede lid, aanhef en onder i en artikel 83, vijfde lid, van de AVG, gelezen in samenhang met artikel 14, derde lid, van de UAVG, is de AP bevoegd aan BKR in geval van een overtreding van artikel 12, tweede lid, en artikel 12, vijfde lid, van de AVG een bestuurlijke boete op te leggen tot € 20.000.000 of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.

De AP heeft Boetebeleidsregels 2019 vastgesteld inzake de invulling van voornoemde bevoegdheid tot het opleggen van een bestuurlijke boete, waaronder het bepalen van de hoogte daarvan.34

Ingevolge artikel 2, onder 2.2, van de Boetebeleidsregels 2019 zijn de bepalingen ter zake van overtreding waarvan de AP een bestuurlijke boete kan opleggen van ten hoogste het bedrag van € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, in bijlage 2 ingedeeld in categorie I, categorie II, categorie III of categorie IV.

33 Stcrt. 2019, 14586, 14 maart 2019. 34 Idem.

17/23

In Bijlage II is artikel 12, tweede lid, van de AVG ingedeeld in categorie III. Artikel 12, vijfde lid, van de AVG is ingedeeld in categorie II.

Ingevolge artikel 2, onder 2.3, stelt de AP de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, […] vast binnen de volgende boetebandbreedte: Categorie II: Boetebandbreedte tussen € 120.000 en € 500.000 en een basisboete van € 310.000. […]. Categorie III: Boetebandbreedte tussen € 300.000 en € 750.000 en een basisboete van € 525.000. […].

Ingevolge artikel 6 bepaalt de AP de hoogte van de boete door het bedrag van de basisboete naar boven (tot ten hoogste het maximum van de bandbreedte van de aan een overtreding gekoppelde boetecategorie) of naar beneden (tot ten laagste het minimum van die bandbreedte) bij te stellen. De basisboete wordt verhoogd of verlaagd afhankelijk van de mate waarin de factoren die zijn genoemd in artikel 7 daartoe aanleiding geven.

Ingevolge artikel 7 houdt de AP onverminderd de artikelen 3:4 en 5:46 van de Algemene wet bestuursrecht (Awb) rekening met de factoren die zijn ontleend aan artikel 83, tweede lid, van de AVG, in de Beleidsregels genoemd onder a tot en met k: a. de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade; b. de opzettelijke of nalatige aard van de inbreuk; c. de door de verwerkingsverantwoordelijke […] genomen maatregelen om de door betrokkenen geleden schade te beperken; d. de mate waarin de verwerkingsverantwoordelijke […] verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32 van de AVG; e. eerdere relevante inbreuken door de verwerkingsverantwoordelijke […]; f. de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken; g. de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft; h. de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke […] de inbreuk heeft gemeld; i. de naleving van de in artikel 58, tweede lid, van de AVG genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke […] in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen; j. het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 van de AVG of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42 van de AVG; en k. elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

18/23

Ingevolge artikel 10 is ingeval van meerdere overtredingen met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten de totale boete niet hoger dan het wettelijk boetemaximum van de zwaarste overtreding.

4.3 Systematiek

Ter zake van overtredingen waarvan de AP een bestuurlijke boete kan opleggen van ten hoogste het bedrag van € 20.000.000 of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, heeft de AP in de Boetebeleidsregels 2019 de overtredingen ingedeeld in drie categorieën, waaraan in zwaarte oplopende bestuurlijke geldboetes zijn verbonden. De boetecategorieën zijn gerangschikt naar zwaarte van de overtreding van de genoemde artikelen, waarbij categorie I de minst zware overtredingen bevat en categorie III of IV de zwaarste overtredingen.

De overtreding van artikel 12, tweede lid, van de AVG is ingedeeld in categorie III, waarvoor een boetebandbreedte tussen € 300.000 en € 750.000 en een basisboete van € 525.000 is vastgesteld. Een overtreding van artikel 12, vijfde lid, van de AVG is ingedeeld in categorie II, waarvoor een boetebandbreedte tussen € 120.000 en € 500.000 en een basisboete van € 310.000 is vastgesteld. De AP hanteert de basisboete als neutraal uitgangspunt. De hoogte van de boete stemt de AP ingevolge artikel 6 van de Boetebeleidsregels 2019 vervolgens af op de factoren die zijn genoemd in artikel 7 van de Boetebeleidsregels 2019, door het bedrag van de basisboete te verlagen of verhogen.

Het gaat in de voorliggende gevallen om een beoordeling van de aard, de ernst en de duur van de overtreding in het specifieke geval. In beginsel wordt daarbij binnen de bandbreedte van de aan die overtreding gekoppelde boetecategorie gebleven. De AP kan, zo nodig en afhankelijk van de mate waarin voornoemde factoren daartoe aanleiding geven, de boetebandbreedte van de naast hogere respectievelijk de naast lagere categorie toepassen.

4.4 Boetehoogte inzake overtreding van kosteloze inzage van persoonsgegevens

4.4.1. Aard, ernst en duur van de inbreuk Ingevolge artikel 7, aanhef en onder a, van de Boetebeleidsregels 2019 houdt de AP rekening met de aard, de ernst en de duur van de inbreuk. Bij de beoordeling hiervan betrekt de AP onder meer de aard, de omvang of het doel van de verwerking alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade.

Met de AVG is een doeltreffende bescherming van persoonsgegevens beo0gd. Dit vereist de versterking en nadere omschrijving van de rechten van betrokkene en van de verplichting van degenen die persoonsgegevens verwerken.35 Artikel 12, vijfde lid, van de AVG verplicht verwerkingsverantwoordelijken om in beginsel kosteloos inzage te geven in persoonsgegevens aan betrokkenen. Inzage in persoonsgegevens omtrent kredietregistraties is van groot belang. Een negatieve kredietregistratie kan

35 Overweging 11 van de AVG.

19/23

gevolgen hebben voor het verkrijgen van een lening of hypotheek. Kosteloze inzage stelt betrokkenen in staat om op eenvoudige manier kennis te nemen welke persoonsgegeven een verwerkingsverantwoordelijke verwerkt en of deze rechtmatig verwerkt worden. Een goede invulling van het inzagerecht is verder noodzakelijk om andere rechten te kunnen uitoefenen, zoals het recht op rectificatie en het recht op gegevenswissing. Met het vragen van een vergoeding voor het via elektronische wijze verkrijgen van inzage in persoonsgegevens heeft BKR één van de belangrijkste beginselen, namelijk het transparantiebeginsel, van de AVG geschonden.

BKR heeft van 25 mei 2018 tot en met 28 april 2019 niet kosteloos op elektronische wijze inzage gegeven in persoonsgegevens aan betrokkenen in het kader van het recht op inzage.36 Deze overtreding heeft daarmee ruim elf maanden op structurele wijze plaatsgevonden en voor een lange periode voortgeduurd. Het ging hierbij om vele persoonsgegevens omtrent kredietregistraties, welke naar hun aard gevoeliger zijn dan bijvoorbeeld een naam of leeftijd.

In 2018 heeft BKR financiële gegevens verwerkt van tien miljoen Nederlandse betrokkenen. Door de overtreding van BKR zijn een groot aantal betrokkenen getroffen. Alleen al in de periode van 25 mei 2018 tot en met 14 september 2018 hebben [VERTROUWELIJK] betrokkenen het betaalde abonnement Basis gekocht bij BKR, om op elektronische wijze inzage te kunnen krijgen in de hen betreffende persoonsgegevens.37 BKR heeft met het overtreden van artikel 12, vijfde lid, van de AVG hierdoor inkomsten kunnen genereren. Gelet op de duur en aard van de overtreding, het groot aantal getroffen betrokkenen en de verworven inkomsten was er naar het oordeel van de AP sprake van een ernstige situatie waarin betrokkenen niet onder de juiste voorwaarden het recht op inzage konden uitoefenen.

Een overtreding van artikel 12, vijfde lid, van de AVG is ingedeeld in categorie II, waarvoor een boetebandbreedte tussen € 120.000 en € 500.000 en een basisboete van € 310.000 is vastgesteld. Gelet op de ernst van de overtreding ziet de AP aanleiding om het basisbedrag van de boete op grond van artikel 7, aanhef en onder a, van de Boetebeleidsregels 2019 te verhogen met € 75.000,-- tot € 385.000,--.

4.4.2 Verwijtbaarheid Ingevolge artikel 5:46, tweede lid, van de Awb houdt de AP bij de oplegging van een bestuurlijke boete rekening met de mate waarin deze aan de overtreder kan worden verweten.

Volgens artikel 12, vijfde lid, van de AVG diende het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 15 kosteloos te geschieden. Van een professionele partij als BKR mag, mede gelet op de aard en de omvang van de verwerking, worden verwacht dat zij zich terdege van de voor haar geldende normen vergewist en deze naleeft.

BKR heeft bewust, op voorhand, vergoedingen gevraagd voor het via elektronische wijze verkrijgen van inzage in persoonsgegevens, terwijl in beginsel kosteloos inzage moet worden verstrekt. Dit is slechts anders wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn. BKR heeft door

36 De periode van voor 25 mei 2018 is buiten beschouwing gebleven in verband met andere geldende wetgeving. 37 Schriftelijke reactie BKR van 9 november 2018, p. 5, antwoord op vraag 4.

20/23

haar handelswijze nagelaten per individueel inzageverzoek te beoordelen of een betrokkene kennelijk ongegronde of buitensporig inzageverzoeken heeft gedaan, zodat zij kosteloos inzage had moeten verstrekken. BKR heeft met deze handelswijze het inzagerecht van de betrokkene belemmerd. De AP acht dit verwijtbaar.

4.4.3 Overige omstandigheden De AP ziet geen aanleiding het basisbedrag van de boete op grond van de overige in artikel 7 van de Boetebeleidsregels 2019 genoemde omstandigheden, voor zover van toepassing in het voorliggende geval, te verhogen of te verlagen. Voor zover BKR heeft aangevoerd dat de overtreding van korte duur was, omdat zij vanaf 29 april 2019 de elektronische inzage kosteloos aanbiedt volgt de AP deze beredenering niet. Zoals in paragraaf 4.4.1 genoemd, acht de AP een structurele overtreding van elf maanden als een inbreuk van lange duur.

BKR heeft verder aangevoerd dat zij in de onderzoeksfase op bijzondere wijze gereageerd heeft op verzoeken van de AP, namelijk door de elektronische inzagemogelijkheid en de communicatie over de wijze waarop het inzagerecht kan worden uitgeoefend aan te passen. Daarnaast heeft BKR om een mondeling gesprek gevraagd om haar keuzes over het inzagerecht toe lichten, welke door de AP is afgewezen. De AP is van oordeel dat de medewerking van BKR niet verder is gegaan dan haar wettelijke plicht om te voldoen aan artikel 32, eerste lid, van de AVG en uiteindelijk op 13 maart 2019 en 29 april 2019 aan artikel 12, tweede lid, en artikel 12, vijfde lid, van de AVG. BKR heeft daarmee niet op bijzondere wijze samengewerkt met de AP. BKR heeft bovendien na de aankondiging van het onderzoek door de AP op 5 september 2018 de overtredingen niet op korte termijn beëindigd.

De AP stelt het boetebedrag inzake overtreding van artikel 12, vijfde lid, van de AVG gelet op het voorgaande vast op € 385.000,--.

4.5 Boetehoogte inzake overtreding van het faciliteren van het inzagerecht

4.5.1 Aard, ernst en duur van de inbreuk Ingevolge artikel 7, onder a, van de Boetebeleidsregels 2019 houdt de AP rekening met de aard, de ernst en de duur van de inbreuk. Bij de beoordeling hiervan betrekt de AP onder meer de aard, de omvang of het doel van de verwerking alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade.

In het kader van het transparantiebeginsel moet de verwerkingsverantwoordelijke op grond van artikel 12, tweede lid, van de AVG de uitoefening van de rechten van de betrokkene uit hoofde van - onder meer - artikel 15 van de AVG faciliteren. Voor de gegevensbescherming is het essentieel dat betrokkenen op een gemakkelijke manier en met redelijke tussenpozen bij BKR inzage kunnen krijgen in persoonsgegevens omtrent kredietregistratie. Hierdoor wordt de betrokkene in staat gesteld om op eenvoudige manier kennis te nemen welke persoonsgegeven een verwerkingsverantwoordelijke verwerkt en of deze rechtmatig verwerkt worden. Een goede invulling van het inzagerecht is verder noodzakelijk om andere rechten te kunnen uitoefenen, zoals het recht op rectificatie en het recht op gegevenswissing.

21/23

BKR heeft van 25 mei 2018 tot en met 12 maart 2019 artikel 12, tweede lid, van de AVG overtreden.38 Het maximeren van één kosteloos inzageverzoek per post per jaar kwalificeert niet als het voldoende faciliteren van het recht op inzage als bedoeld in artikel 12, tweede lid, van de AVG. Deze overtreding van ruim negen maanden heeft daarmee op structurele wijze voor een lange periode voortgeduurd. Het betrof hierbij om vele persoonsgegevens omtrent kredietregistraties, welke naar hun aard gevoeliger zijn dan bijvoorbeeld een naam of leeftijd.

Daarnaast is met deze overtreding een groot aantal betrokkenen getroffen. Alleen al in de periode 25 mei 2018 tot en met 14 september 2018 hebben ruim 10.000 betrokkenen per post inzage in de hen betreffende persoonsgegevens gevraagd bij BKR.39 Tijdens de inzageverzoeken heeft BKR deze betrokkenen expliciet er op gewezen dat één keer per jaar een verzoek tot inzage gedaan kan worden. Deze betrokkenen, maar ook anderen betrokkenen die dit beleid via verschillende communicatiemiddelen van BKR te horen hebben gekregen, werden ontmoedigd om een inzageverzoek in te dienen. Gelet hierop, alsmede de duur en aard van de overtreding was er naar het oordeel van de AP sprake van een ernstige situatie waarin BKR het recht op inzage per post niet heeft gefaciliteerd.

De overtreding van artikel 12, tweede lid, van de AVG is ingedeeld in categorie III, waarvoor een boetebandbreedte tussen € 300.000 en € 750.000 en een basisboete van € 525.000 is vastgesteld. Gelet op de ernst van de overtreding ziet de AP aanleiding om het basisbedrag van de boete op grond van artikel 7, aanhef en onder a, van de Boetebeleidsregels 2019 te verhogen met € 125.000,-- tot € 650.000,--.

4.5.2 Verwijtbaarheid Ingevolge artikel 5:46, tweede lid, van de Awb houdt de AP bij de oplegging van een bestuurlijke boete rekening met de mate waarin deze aan de overtreder kan worden verweten.

BKR moet als verwerkingsverantwoordelijke op grond van artikel 12, tweede lid, van de AVG de uitoefening van het recht op inzage faciliteren. BKR heeft met haar uitgedragen beleid het recht van inzage per post niet gefaciliteerd. BKR heeft namelijk bewust, op voorhand, betrokkenen erop gewezen dat zij alleen één keer per jaar kosteloos inzage kunnen doen. De AP is van oordeel dat BKR met het uitdragen van dit beleid het inzagerecht van de betrokkene heeft belemmerd. De betrokkene moet eenvoudig en met redelijke tussenpozen het recht op inzage kunnen uitoefenen. Van een professionele partij als BKR mag, mede gelet op de aard en de omvang van de verwerking, worden verwacht dat zij zich terdege van de voor haar geldende normen vergewist en deze naleeft. BKR heeft nagelaten om haar beleid aan te passen aan de waarborgen die de AVG aan het recht op inzage geeft. De AP acht dit verwijtbaar.

4.5.3 Overige omstandigheden De AP ziet geen aanleiding het basisbedrag van de boete op grond van de overige in artikel 7 van de Boetebeleidsregels 2019 genoemde omstandigheden, voor zover van toepassing in het voorliggende geval, te verhogen of te verlagen. Voor zover BKR heeft aangevoerd dat de overtreding van korte duur was, omdat

38 De periode van voor 25 mei 2018 is buiten beschouwing gebleven in verband met andere geldende wetgeving. 39 Schriftelijke reactie BKR van 24 september 2018, p. 7, antwoord op vraag 5.

22/23

zij vanaf 13 maart 2019 haar communicatie over het inzagerecht heeft aangepast volgt de AP deze beredenering niet. Zoals in paragraaf 4.5.1 genoemd, acht de AP een structurele overtreding van negen maanden als een inbreuk van lange duur. Voor de overige aangevoerde zienswijze van BKR en de reactie van de AP hierop, verwijst de AP naar paragraaf 4.4.3.

De AP stelt het boetebedrag inzake overtreding van artikel 12, tweede lid, van de AVG gelet op het voorgaande vast op € 650.000,--.

4.6 Evenredigheid en wettelijk boetemaximum

Tot slot beoordeelt de AP op grond van artikelen 3:4 en 5:46 van de Awb (evenredigheidsbeginsel) of de toepassing van haar beleid voor het bepalen van de hoogte van de boete gezien de omstandigheden van het concrete geval, niet tot een onevenredige uitkomst leidt. Toepassing van het evenredigheidsbeginsel kan onder andere spelen bij de cumulatie van sancties. Indien de AP voor te onderscheiden, maar wel samenhangende overtredingen twee of meer boetes wil opleggen, moet het totaal van de boetes nog wel aansluiten bij de ernst van de overtredingen.

In dit geval gaat de AP over tot boeteoplegging voor overtreding van zowel artikel 12, tweede lid, als artikel 12, vijfde lid, van de AVG. Naar het oordeel van de AP hebben de twee verschillende gedragingen van BKR, namelijk via elektronische wijze niet kosteloos inzage bieden en actief het beleid uitdragen dat betrokkenen per post één keer per jaar persoonsgegevens in kunnen zien, geleid tot twee afzonderlijke overtredingen. Tegelijkertijd onderkent de AP dat het achterliggende beginsel van de desbetreffende bepalingen in de kern gelijkwaardig is, namelijk transparantie met het oogmerk om betrokkenen controle te laten houden over de hen betreffende persoonsgegevens. Dit geeft aanleiding om het hierboven genoemde boetebedrag op grond van de evenredigheid met 20% te matigen tot € 205.000,--.

Aldus stelt de AP het totale boetebedrag vast op € 830.000,--. In het kader van artikel 10 van de Boetebeleidsregels stelt de AP vast dat de totale boete niet hoger is dan het wettelijk boetemaximum (€ 20.000.000 of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is) van de zwaarste overtreding.

4.7 Conclusie

De AP stelt het totale boetebedrag vast op € 830.000,--.

23/23

5. Dictum Boete

De AP legt aan BKR, wegens overtreding van artikel 12, tweede lid, en artikel 12, vijfde lid, van de AVG een bestuurlijke boete op ten bedrage van € 830.000,-- (zegge: achthonderddertigduizend euro).40

Hoogachtend, Autoriteit Persoonsgegevens,

w.g.

ir. M.J. Verdier Vicevoorzitter

Rechtsmiddelenclausule Indien u het niet eens bent met dit besluit kunt u binnen zes weken na de datum van verzending van het besluit digitaal of op papier een bezwaarschrift indienen bij de Autoriteit Persoonsgegevens. Voor het indienen van digitaal bezwaar, zie www.autoriteitpersoonsgegevens.nl, onder het kopje Bezwaar maken tegen een besluit, onderaan de pagina onder de kop Contact met de Autoriteit Persoonsgegevens. Het adres voor het indienen op papier is: Autoriteit Persoonsgegevens, postbus 93374, 2509 AJ Den Haag. Vermeld op de envelop ‘Awb-bezwaar’ en zet in de titel van uw brief ‘bezwaarschrift’. Schrijf in uw bezwaarschrift ten minste: - uw naam en adres; - de datum van uw bezwaarschrift; - het in deze brief genoemde kenmerk (zaaknummer); of een kopie van dit besluit bijvoegen; - de reden(en) waarom u het niet eens bent met dit besluit; - uw handtekening.

40 De AP zal voornoemde vordering uit handen geven aan het Centraal Justitieel Incassobureau (CJIB).