HR, 03-12-2021, nr. 21/00241

Het recht op bescherming van persoonsgegevens (ook wel ‘informationele privacy’ genoemd) wordt als grondrecht beschermd door art. 8 EVRM, art. 16 VWEU en art. 8 van het Handvest van de grondrechten van de Europese Unie (hierna: Handvest). In EU-verband is de bescherming van persoonsgegevens nader uitgewerkt in de Algemene verordening gegevensbescherming (hierna: AVG),14. die op 25 mei 2018 de Richtlijn bescherming persoonsgegevens15. (hierna: de Richtlijn) heeft vervangen. Deze richtlijn was in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens (hierna: Wbp).16.

Ik bespreek hierna het grondrechtelijke kader (alinea 2.3 e.v.), gevolgd door een behandeling van de relevante AVG-bepalingen, waar nodig in samenhang met het oude recht (alinea 2.7 e.v.). Aansluitend behandel ik de wet- en regelgeving op het gebied van het financieel toezicht die deelname aan en raadpleging van een stelsel van kredietregistratie voorschrijft (alinea 2.43 e.v.). Ten slotte bespreek ik hoe deze wet- en regelgeving zich verhoudt tot de bescherming van persoonsgegevens onder de AVG (alinea 2.76 e.v.).

Hoewel het EVRM niet voorziet in een recht op bescherming van persoonsgegevens (‘data protection’) als zodanig, acht het EHRM die bescherming wel van fundamenteel belang voor de verwezenlijking van het door art. 8 EVRM beschermde recht op eerbiediging van het privé-, familie- en gezinsleven. Art. 8 lid 2 EVRM laat een inmenging in dit recht slechts toe, voor zover deze (i) voorzien bij wet (‘in accordance with the law’) en (ii) noodzakelijk in een democratische samenleving (‘necessary in a democratic society’) is ter bescherming van (iii) één of meer van de in het artikellid genoemde rechtsbelangen (‘legitimate aims’). De eerste beperkingsvoorwaarde (‘lawfulness’) wordt door het EHRM in materiële zin opgevat: de inmenging behoeft niet in een wet in formele zin te zijn neergelegd, maar kan voortvloeien uit elk algemeen verbindend voorschrift, mits dit voorschrift voldoende toegankelijk en voorzienbaar is (‘accessibility and foreseeability’). De tweede beperkingsvoorwaarde (‘necessity’) omvat onder meer een proportionaliteitstoets. Het EHRM onderzoekt of de inmenging voorziet in een dringende maatschappelijke behoefte (‘a pressing social need’) en proportioneel is aan de nagestreefde doeleinden (‘proportionate to the legitimate aims pursued’). In dat kader kan van belang zijn of het beoogde doel ook met minder verstrekkende middelen kan worden bereikt. Dit laatste wordt ook wel de subsidiariteitstoets genoemd (ter onderscheiding van de proportionaliteitstoets waarvan deze toets onderdeel uitmaakt).17.

Art. 16 lid 1 VWEU en art. 8 lid 1 Handvest bepalen dat eenieder recht heeft op bescherming van zijn persoonsgegevens. Art. 8 lid 2 Handvest bepaalt dat persoonsgegevens eerlijk moeten worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van ‘een andere gerechtvaardigde grondslag waarin de wet voorziet’.18. De considerans van de AVG bevestigt dat de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens ‘een grondrecht’ is.19.

In de Santander-beschikking uit 2011 heeft de Hoge Raad geoordeeld dat, gelet op art. 8 EVRM en de totstandkomingsgeschiedenis van de Wbp,20. elke verwerking van persoonsgegevens moet voldoen aan de beginselen van proportionaliteit en subsidiariteit. Ook als de gegevensverwerking in beginsel is toegestaan op een van de in art. 8 Wbp limitatief opgesomde verwerkingsgronden (vergelijk thans art. 6 lid 1 AVG), blijft de eis gelden dat de verwerking in het concrete geval noodzakelijk moet zijn met het oog op het omschreven doel van de verwerking. De aanwezigheid van een wettelijke rechtvaardigingsgrond maakt derhalve een belangenafweging aan de hand van de beginselen van proportionaliteit en subsidiariteit niet overbodig, aldus de Hoge Raad.21. Het ging in die zaak, evenals in de nu voorliggende zaak, om een kredietregistratie in het CKI van het BKR, waartegen de kredietnemer verzet had aangetekend op grond van art. 40 Wbp (vergelijk thans art. 21 AVG). Het hof had de vraag of de kredietregistratie berustte op de c-grond van art. 8 Wbp (nakoming van een wettelijke verplichting) dan wel op de f-grond (behartiging van een gerechtvaardigd belang) onbeantwoord gelaten, daartoe overwegende dat ongeacht de toepasselijke verwerkingsgrondslag een belangenafweging moest plaatsvinden. De Hoge Raad liet dat oordeel in stand en verwierp de daartegen gerichte klacht dat bij de toepassing van de c-grond geen belangenafweging vereist zou zijn.22.

De grondrechtelijke status van het recht op bescherming van persoonsgegevens brengt dus mee dat elke gegevensverwerking aan de basisvereisten van art. 8 EVRM en art. 8 Handvest moet voldoen, waaronder de beginselen van proportionaliteit en subsidiariteit. Dit maakt een toetsing aan de AVG, waarin die basisvereisten zijn uitgewerkt, niet overbodig. Eerst zal moeten worden bezien of en in hoeverre de AVG een gegevensverwerking toestaat. Een aanvullende toetsing aan art. 8 EVRM en art. 8 Handvest kan als vangnet fungeren voor gevallen die de AVG-toets doorstaan, maar biedt de rechthebbende niet zonder meer een gelijkwaardig beschermingsniveau.23.

De AVG is ingevoerd om de Europese gegevensbeschermingsregels verder te harmoniseren dan de Richtlijn bescherming persoonsgegevens al deed.24. De materiële normen voor de verwerking van persoonsgegevens zijn in grote lijnen gelijk gebleven, maar de rechtspositie van de rechthebbenden is op verschillende punten versterkt, bijvoorbeeld door de invoering van het nog te bespreken recht op vergetelheid (art. 17 AVG).25. Wetssystematisch is een belangrijk verschil dat de AVG, als verordening, verbindend is in al haar onderdelen en rechtstreeks toepasselijk in elke lidstaat (art. 288 VWEU). Omzetting in nationale wetgeving is dus niet vereist, en in beginsel zelfs niet toegestaan. Niettemin laat de AVG op verschillende punten ruimte voor nadere uitwerking in nationale wetgeving. Zo bepaalt art. 6 lid 2 AVG, toegespitst op de verwerkingsgronden van art. 6 lid 1 onder c en e AVG (wettelijke verplichting en taak van algemeen belang), dat de lidstaten ‘specifiekere bepalingen’ kunnen handhaven of invoeren ter aanpassing van de manier waarop de AVG-regels met betrekking tot deze verwerkingsgronden worden toegepast. Hiertoe kunnen de lidstaten een ‘nadere omschrijving’ geven van ‘specifieke voorschriften’ voor de verwerking en ‘andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen’.26. Tegen deze achtergrond wordt de AVG ook wel een ‘directive in disguise’ genoemd.27.

Het vereiste van rechtmatigheid en de beginselen van proportionaliteit en subsidiariteit, zoals neergelegd in art. 8 lid 2 EVRM en art. 8 lid 2 Handvest,28. zijn nader uitgewerkt in art. 5 AVG, houdende ‘Beginselen inzake verwerking van persoonsgegevens’. Het gaat, voor zover hier van belang, om de beginselen van ‘rechtmatigheid, behoorlijkheid en transparantie’ (lid 1 onder a), ‘doelbinding’ (lid 1 onder b) en ‘minimale gegevensverwerking’ (lid 1 onder c). Laatstgenoemd beginsel houdt in dat de verwerking van persoonsgegevens beperkt moet blijven tot ‘wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt’. Meer concreet betekent dit bijvoorbeeld dat de opslagperiode van persoonsgegevens tot een ‘strikt minimum’ moet worden beperkt.29.

Het vereiste van toestemming of een andere gerechtvaardigde grondslag, zoals neergelegd in art. 8 lid 2 Handvest, is nader uitgewerkt in art. 6 AVG, over ‘Rechtmatigheid van de verwerking’. In art. 6 lid 1 AVG zijn zes limitatieve verwerkingsgronden opgenomen, die overeenstemmen met de verwerkingsgronden van art. 7 van de Richtlijn en art. 8 Wbp. Deze verwerkingsgronden en hun onderlinge verhouding bespreek ik hierna in alinea 2.14 e.v.

De Uitvoeringswet AVG (UAVG), die tegelijk met de AVG op 25 mei 2018 is ingevoerd,30. voorziet in regels ter uitvoering van het in de AVG bepaalde, bijvoorbeeld met betrekking tot de publiekrechtelijke handhaving van AVG-regels en de civielrechtelijke rechtsbescherming van de rechthebbende. De UAVG bouwt voort op het normenkader van de Richtlijn en de Wbp.31. Voor deze zaak is art. 35 UAVG van belang, dat — voortbouwend op het in art. 79 AVG neergelegde recht op een ‘doeltreffende voorziening in rechte’ — voorziet in een civielrechtelijke rechtsingang met het oog op onder meer het doen verwijderen of het doen staken van de verwerking van persoonsgegevens (alinea 2.39 e.v.).

De voor de toepassing van de AVG relevante begrippen zijn gedefinieerd in art. 4 AVG. Onder persoonsgegevens wordt verstaan ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Deze persoon, de rechthebbende, wordt in de AVG als betrokkene aangemerkt (art. 4 onder 1 AVG). De verwerking van persoonsgegevens is ruim omschreven als ‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés’. Daaronder wordt behalve het ‘opslaan’ en ‘raadplegen’ van persoonsgegevens bijvoorbeeld ook het ‘wissen of vernietigen’ van persoonsgegevens verstaan (art. 4 onder 2 AVG).

De materiële normen van de AVG zijn primair gericht tot de verwerkingsverantwoordelijke (‘controller’). Dat is de natuurlijke persoon of rechtspersoon die, alleen of samen met anderen, ‘het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’ (art. 4 onder 7 AVG). In de literatuur wordt de verwerkingsverantwoordelijke omschreven als degene onder wiens verantwoordelijkheid de gegevensverwerking plaatsvindt.32. Indien twee of meer personen gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken (art. 26 lid 1 AVG). De betrokkene kan zijn AVG-rechten dan met betrekking tot en jegens ieder van hen uitoefenen (art. 26 lid 3 AVG).

Worden persoonsgegevens verwerkt door een derde die optreedt namens de verwerkingsverantwoordelijke, dan wordt die derde als verwerker (‘processor’) aangeduid (art. 4 onder 8 AVG).33. De verwerking van persoonsgegevens door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling die de verwerker ten opzichte van de verwerkingsverantwoordelijke bindt (art. 28 lid 3 AVG). De verwerker bevindt zich buiten de organisatie van de verwerkingsverantwoordelijke en handelt overeenkomstig diens instructies. Een voorbeeld is het salarisadministratiebedrijf, dat in opdracht van werkgevers persoonsgegevens van werknemers verwerkt.34.

Art. 6 lid 1 AVG behelst zoals gezegd een limitatieve opsomming van de gronden waarop persoonsgegevens rechtmatig kunnen worden verwerkt. Het artikellid luidt als volgt:

Het limitatieve karakter van de opsomming blijkt uit het woord ‘alleen’.35. De woorden ‘voor zover’ bevestigen het beginsel van minimale gegevensverwerking (art. 5 lid 1 onder c AVG): indien slechts een gedeelte van de verwerking of slechts een gedeelte van de verwerkte gegevens onder het bereik van de toepasselijke verwerkingsgrond(en) valt, is de verwerking slechts in zoverre rechtmatig, en voor het overige verboden. De woorden ‘ten minste’ maken duidelijk dat één en dezelfde verwerking onder het bereik van meer dan één verwerkingsgrond kan vallen. De verwerkingsgronden kunnen elkaar in die zin overlappen, maar de toepasselijkheid van één verwerkingsgrond volstaat voor het aannemen van rechtmatigheid.36.

De verwerkingsgronden worden in de literatuur aangemerkt als equivalent, oftewel als gelijkwaardige alternatieven.37. Hierbij is van belang dat het toepassingsbereik en de rechtsgevolgen van de verwerkingsgronden verschillen. Een toestemming (de a-grond) kan bijvoorbeeld te allen tijde worden ingetrokken (art. 7 lid 3 AVG), terwijl tegen een gegevensverwerking uit hoofde van een taak van algemeen belang (de e-grond) of de behartiging van gerechtvaardigde belangen (de f-grond) te allen tijde bezwaar kan worden gemaakt (art. 21 lid 1 AVG). Deze voorbehouden gelden niet als de gegevensverwerking berust op een wettelijke verplichting (de c-grond), maar daarvoor is een basis in het Unierecht of het nationale recht vereist, die aan bepaalde randvoorwaarden moet voldoen (art. 6 lid 3 AVG, hierna besproken in alinea 2.20). Gezien deze verschillen is het van belang om de verwerkingsgronden van elkaar te onderscheiden, ook al geldt uiteindelijk dat elke gegevensverwerking moet voldoen aan de eerder besproken basisvereisten van art. 8 EVRM en art. 8 Handvest.38.

De verwerkingsgronden b tot en met f hebben gemeen dat zij de gegevensverwerking slechts toestaan indien en voor zover die ‘noodzakelijk’ is met het oog op de genoemde doeleinden. Dit vereiste van noodzakelijkheid correspondeert met de eerder besproken beginselen van proportionaliteit en subsidiariteit.39. Uit de rechtspraak van het HvJEU blijkt dat het begrip ‘noodzakelijk’ (zoals eertijds gebruikt in art. 7 onder e van de Richtlijn) in deze context een autonome Unierechtelijke betekenis heeft.40. De Nederlandse wetgever heeft bij de totstandkoming van de UAVG het begrip noodzakelijkheid, toegespitst op de c-grond, aldus nader omschreven dat naleving van de wettelijke verplichting zonder de gegevensverwerking ‘redelijkerwijs niet goed mogelijk’ moet zijn.41. Diezelfde terminologie werd gebruikt in de memorie van toelichting bij de Wbp, met de toevoeging dat er ‘een evident verband [moet] bestaan tussen de gegevensverwerking en de (uitvoering van de) wettelijke verplichting’.42. Deze omschrijvingen kunnen behulpzaam zijn bij de feitelijke invulling van het noodzakelijkheidsvereiste. De juridische inkadering ervan is, gelet op het voorgaande, voorbehouden aan het HvJEU.

In deze zaak speelt de verwerkingsgrond van art. 6 lid 1 onder c AVG een centrale rol. Deze betreft gevallen waarin de gegevensverwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. In de literatuur wordt aangenomen dat deze verwerkingsgrond een restrictief karakter heeft. Niet voldoende is dat de verwerkingsverantwoordelijke wettelijk bevoegd is om persoonsgegevens te verwerken of dat de gegevensverwerking nuttig is voor de naleving van een wettelijke verplichting. De gegevensverwerking moet daadwerkelijk noodzakelijk zijn — in de zojuist besproken zin — om te kunnen voldoen aan een op de verwerkingsverantwoordelijke rustende wettelijke verplichting.43.

Het restrictieve karakter van de c-grond is onder het regime van art. 7 sub c van de Richtlijn benadrukt door de ‘Artikel 29-Groep’, een werkgroep bestaande uit vertegenwoordigers van de nationale toezichthoudende autoriteiten, wier aanbevelingen niet bindend maar wel gezaghebbend zijn.44. In haar ‘Legitimate interest opinion’ uit 2014 schreef deze werkgroep dat de c-grond ‘strikt afgebakend’ is en alleen van toepassing is wanneer de verplichting ‘bij wet wordt opgelegd (en niet, bijvoorbeeld, in een contractuele regeling)’. In de opinie worden als voorbeelden van gegevensverwerkingen op de c-grond genoemd: de wettelijke verplichting van werkgevers om salarisgegevens van hun werknemers door te geven aan de Belastingdienst,45. de wettelijke verplichting van financiële instellingen om verdachte transacties te melden aan autoriteiten die belast zijn met de handhaving van wetgeving ter voorkoming van witwassen en de gegevensverwerking door lokale overheden met het oog op de afwikkeling van parkeerboetes.46. Zoals uit deze voorbeelden blijkt, kan de c-grond zowel door private partijen als door overheidsinstanties worden ingeroepen.47.

Een belangrijk element van de c-grond is, naast de al besproken noodzakelijkheidseis, het vereiste van een wettelijke grondslag van de verplichting (‘legal obligation’). Dit vereiste is uitgewerkt in art. 6 lid 3 AVG, dat bepaalt dat de ‘rechtsgrond’ van de verplichting (en van de taak van algemeen belang als bedoeld in lid 1 onder e) moet worden vastgesteld bij Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is. Dit recht moet het ‘doel van de verwerking’ vaststellen en kán daarnaast ‘specifieke bepalingen’ bevatten met betrekking tot de toepassing van de AVG-regels, bijvoorbeeld ‘algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke’. Bij dit alles stelt het derde lid als randvoorwaarden dat de rechtsgrond moet beantwoorden aan een ‘doelstelling van algemeen belang’ en ‘evenredig’ moet zijn met het nagestreefde gerechtvaardigde doel. De wettelijke verplichting moet dus, evenals de daarop gebaseerde gegevensverwerking, aan het noodzakelijkheidsvereiste voldoen (inclusief de daaruit voortvloeiende beginselen van proportionaliteit en subsidiariteit).48.

De verordening eist niet dat de wettelijke verplichting in een wet in formele zin is neergelegd, zo expliciteert de considerans.49. Dit betekent dat in beginsel ieder algemeen verbindend voorschrift kan fungeren als grondslag van een wettelijke verplichting in de zin van de c-grond.50. Volgens de memorie van toelichting bij de UAVG kan in dit verband worden aangesloten bij de algemene leerstukken van het bestuurlijk organisatierecht, zoals attributie, mandaat en delegatie.51.

Niet geheel duidelijk is of een wettelijke verplichting in de zin van de c-grond haar rechtsgrond kan vinden in een algemeen geformuleerde wetsbepaling die niet specifiek op gegevensverwerking is toegespitst (zoals in dit geval een zorgplicht in de Wet op het financieel toezicht).52. Enerzijds vermeldt de considerans, conform de in alinea 2.3 besproken rechtspraak van het EHRM, dat de rechtsgrond ‘duidelijk en nauwkeurig’ moet zijn en de toepassing ervan ‘voorspelbaar’ voor degenen op wie deze van toepassing is.53. Anderzijds vermeldt de considerans dat de AVG níet voorschrijft ‘dat voor elke afzonderlijke verwerking specifieke wetgeving vereist is’: er kan worden volstaan met ‘wetgeving die als basis fungeert voor verscheidene verwerkingen’.54. Dit sluit aan bij art. 6 lid 3 AVG, dat zoals gezegd slechts vereist dat de rechtsgrond het ‘doel van de verwerking’ vaststelt.

De memorie van toelichting bij de UAVG is op dit punt ook niet eenduidig. Enerzijds vermeldt zij dat de rechtsgrond ‘niet noodzakelijkerwijs [behoeft] te bestaan uit een expliciete verplichting om (bepaalde) persoonsgegevens te verwerken’. De verwerking kan ook een basis vinden in ‘een ruimer geformuleerde zorgplicht of wettelijke verplichting’, met dien verstande dat de verwerkingsverantwoordelijke dan een ‘grotere eigen verantwoordelijkheid’ heeft bij de beoordeling van de noodzakelijkheid van de verwerking.55. Anderzijds vermeldt de memorie van toelichting dat met de wettelijke grondslag voor een publieke taak of verplichting níet steeds ook de wettelijke grondslag voor de gegevensverwerking is gegeven. Uit art. 8 EVRM vloeit voort dat een ‘voldoende precieze wettelijke grondslag’ is vereist. De wetgever acht het ‘niet toelaatbaar’ dat een verplichting tot gegevensverstrekking ‘uitsluitend wordt afgeleid uit de totstandkomingsgeschiedenis van of de samenhang tussen wettelijke bepalingen of wordt verondersteld omwille van de effectiviteit van een wettelijke regeling’.56.

Een aannemelijke lezing lijkt, mede gezien art. 8 EVRM, dat de wettelijke verplichting weliswaar algemeen geformuleerd mag zijn, maar dat zij ten aanzien van de voorgeschreven gegevensverwerking wel moet voldoen aan de eisen van duidelijkheid, nauwkeurigheid en voorspelbaarheid. Deze lezing wordt bevestigd door de Artikel 29-Groep in haar eerder genoemde ‘Legitimate interest opinion’. Volgens deze opinie mag de verwerkingsverantwoordelijke ‘geen keuze’ hebben om wel of niet te voldoen aan de verplichting en moet de verplichting ook ‘voldoende duidelijk zijn wat de vereiste verwerking van persoonsgegevens betreft’. De c-grond is dus van toepassing op basis van ‘wetsbepalingen die expliciet verwijzen naar de aard en het voorwerp van de verwerking’. De verwerkingsverantwoordelijke mag ‘geen ongepaste beoordelingsmarge hebben wat betreft de wijze waarop hij aan de wettelijke verplichting voldoet’. In voorkomende gevallen kan de wetgever volstaan met het vaststellen van een ‘algemene doelstelling’, terwijl ‘meer specifieke verplichtingen op een ander niveau worden vastgesteld, bijvoorbeeld in secundaire wetgeving of in een bindend besluit van een overheidsinstantie in een concreet geval’. Zulke specifieke verplichtingen kunnen vallen onder de c-grond, ‘mits de aard en het voorwerp van de verwerking goed is gedefinieerd en er een adequate rechtsbasis voor bestaat’. Indien een regelgevende instantie ‘slechts algemene beleidsrichtlijnen en voorwaarden vaststelt waaronder zij kan overgaan tot het gebruik van [haar] handhavingsbevoegdheden’, moet de verwerking worden beoordeeld op basis van art. 7 onder f van de Richtlijn, en kan zij pas gerechtvaardigd worden geacht na een ‘aanvullende belangenafweging’. De Artikel 29-Groep noemt in dit verband als voorbeeld ‘regelgevende richtsnoeren voor financiële instellingen over bepaalde due-diligencenormen’.57.

Ook in de literatuur wordt aangenomen dat een algemene wettelijke verplichting niet in alle gevallen kan dienen als rechtsgrond voor gegevensverwerking.58. Toegespitst op de wettelijk gereguleerde kredietregistratie door banken ten behoeve van een kredietwaardigheidstoetsing wordt betoogd dat het hier gaat om ‘the exercise of a legal right to which the controller is entitled’ en dat ‘there is no way data processing can be seen as an obligation in these contexts’.59. Dit betoog is niet specifiek toegespitst op de Nederlandse wet- en regelgeving. Uiteindelijk zal door uitleg van die wet- en regelgeving moeten worden vastgesteld of sprake is van een wettelijke verplichting in de zin van art. 6 lid 1 onder c AVG, die voldoet aan de voornoemde eisen van duidelijkheid, nauwkeurigheid en voorspelbaarheid.

Volledigheidshalve merk ik nog op dat voor toepassing van de c-grond is vereist dat de wettelijke verplichting op de verwerkingsverantwoordelijke rust (art. 6 lid 1 onder c AVG). Rust de verplichting op iemand anders, bijvoorbeeld de verwerker, dan moet de gegevensverwerking op een andere grondslag worden gebaseerd, zoals de nu te bespreken f-grond.60.

Art. 6 lid 1 onder f AVG betreft gevallen waarin de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde. Kenmerkend voor deze verwerkingsgrond is het open karakter ervan. Toepassing van de f-grond noopt de verwerkingsverantwoordelijke (en in rechtsgeschillen de rechter) tot een belangenafweging. Dit blijkt uit het vervolg van onderdeel f (na ‘behalve’), waar is bepaald dat de f-grond toepassing mist indien de belangen of de grondrechten en de fundamentele vrijheden van de rechthebbende ‘zwaarder wegen’ dan de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of de derde in kwestie.61. Bij deze belangenafweging speelt de ‘redelijke privacyverwachting’ van de rechthebbende een centrale rol. Getoetst moet worden of de rechthebbende op het tijdstip en in het kader van de verzameling van de persoonsgegevens ‘redelijkerwijs mag verwachten dat verwerking met dat doel kan plaatsvinden’.62. De uitkomst van deze toetsing is afhankelijk van de omstandigheden van het geval.63.

Gerechtvaardigde belangen in de zin van de f-grond kunnen blijkens de considerans aanwezig zijn wanneer sprake is van ‘een relevante en passende verhouding tussen de betrokkene en de verwerkingsverantwoordelijke, in situaties waarin de betrokkene een klant is of in dienst is van de verwerkingsverantwoordelijke’. Een veel genoemd voorbeeld is het geval waarin een bedrijf persoonsgegevens van klanten verwerkt ten behoeve van ‘direct marketing’.64. De Artikel 29-Groep noemt ook de ‘Verificatie van de gegevens van een klant vóór de opening van een bankrekening’ als voorbeeld van gegevensverwerking op de f-grond, overigens met de kanttekening dat ook de c-grond van toepassing kan zijn ‘voor zover de toepasselijke wetgeving de genomen maatregelen specifiek vereist’.65. ‘Kredietcontroles voorafgaand aan de verstrekking van een lening’ kunnen volgens de Artikel 29-Groep op de f-grond berusten, maar in geval van ‘een wettelijke verplichting van banken om een officiële lijst van geregistreerde schuldenaars te raadplegen’ komt ook de c-grond voor toepassing in aanmerking.66. De Autoriteit Persoonsgegevens noemt het belang om ‘zorgplichten na te komen voor werknemers en/of klanten’ als voorbeeld van een gerechtvaardigd belang in de zin van de f-grond.67.

De ingevolge art. 6 lid 1 onder f AVG af te wegen belangen zijn geen gelijke grootheden. Tegenover de ‘gerechtvaardigde belangen’ van de verwerkingsverantwoordelijke staan ‘de belangen of de grondrechten en de fundamentele vrijheden’ van de rechthebbende. In deze formulering valt op dat de belangen van de rechthebbende niet van de kwalificatie ‘gerechtvaardigde’ zijn voorzien, terwijl behalve die belangen ook ‘de grondrechten en de fundamentele vrijheden’ van de rechthebbende gewicht in de schaal leggen. Tegen deze achtergrond, en mede gelet op het voorschrift dat de gerechtvaardigde belangen van de verwerkingsverantwoordelijke ‘zwaarder’ moeten wegen, wordt aangenomen dat de f-grond een ruime bescherming biedt aan de rechthebbende68. en een uitgebreide motiveringsplicht oplegt aan de verwerkingsverantwoordelijke.69.

De f-grond wordt, vanwege zijn open karakter, ook wel als ‘restgrond’ betiteld.70. De gedachte is dat een casuïstische belangenafweging als voorgeschreven in art. 6 lid 1 onder f AVG achterwege kan blijven als een andere, meer categorisch omschreven verwerkingsgrond (bijvoorbeeld de c-grond) voor toepassing in aanmerking komt.71. Volgens de Artikel 29-Groep is bij de f-grond een ‘specifieke test nodig voor gevallen die niet passen in de vooraf gedefinieerde scenario's onder a) tot en met e)’. Zo bezien bevat de f-grond ‘aanvullende waarborgen’. Daarom mag de f-grond niet worden beschouwd als ‘de zwakste schakel’ of een ‘open deur om alle activiteiten op het gebied van gegevensverwerking die niet onder een van de andere rechtsgronden vallen te rechtvaardigen’. De f-grond is, aldus de Artikel 29-Groep, geen ‘voorkeursoptie’, maar ook geen ‘laatste redmiddel’.72. Een en ander bevestigt het equivalente karakter van de verwerkingsgronden (alinea 2.16).

Een belangrijke beperking van het toepassingsbereik van de f-grond schuilt in de tweede alinea van art. 6 lid 1 AVG. Daarin is bepaald dat de f-grond niet geldt voor de verwerking van persoonsgegevens door overheidsinstanties. De achterliggende gedachte is, blijkens de considerans, dat het aan de wetgever is om een rechtsgrond te creëren voor dit type gegevensverwerking.73. Door deze uitsluiting is de f-grond uitsluitend van toepassing op gegevensverwerking in de private sector.74.

De verwerkingsgronden van art. 6 lid 1 AVG verschillen niet alleen in materieel opzicht, maar ook in procedurele zin, met betrekking tot de rechtsmiddelen die de rechthebbende ten dienste staan. Voor deze zaak zijn het recht van bezwaar (art. 21 lid 1 AVG) en het recht van gegevenswissing na bezwaar (art. 17 lid 1 onder c AVG) van belang.

Art. 21 lid 1 AVG bepaalt, voor zover hier van belang, dat de rechthebbende te allen tijde het recht heeft om bezwaar te maken tegen een gegevensverwerking op de e- of de f-grond, vanwege redenen die verband houden met zijn ‘specifieke situatie’. Maakt de rechthebbende bezwaar, dan staakt de verwerkingsverantwoordelijke de gegevensverwerking, tenzij hij ‘dwingende gerechtvaardigde gronden’ voor de verwerking aanvoert die ‘zwaarder wegen’ dan de belangen, rechten en vrijheden van de rechthebbende.75. Een bezwaar noopt de verwerkingsverantwoordelijke dus (opnieuw) tot een belangenafweging. In vergelijking met de initiële belangenafweging die bij de toepassing van de f-grond moet plaatsvinden (alinea 2.27) is deze hernieuwde belangenafweging specifieker van aard en bovendien meer toegespitst op de actuele omstandigheden waarin de rechthebbende verkeert. De gedachte is dat die eerdere belangenafweging, hoe zorgvuldig ook, een enigszins algemeen karakter heeft, zodat niet valt uit te sluiten dat de belangenafweging — al dan niet vanwege nieuwe feitelijke ontwikkelingen — in het individuele geval anders moet uitvallen.76. In de lagere rechtspraak wordt voor deze hernieuwde belangenafweging aansluiting gezocht bij de in alinea 2.5 besproken Santanderbeschikking en de daarin genoemde beginselen van proportionaliteit en subsidiariteit.77.

De belangenafweging vertrekt niet vanuit een neutraal uitgangspunt. Ingevolge art. 21 lid 1 AVG moet een gegevensverwerking op de e- of f-grond waartegen bezwaar wordt gemaakt in beginsel gestaakt worden, tenzij dwingende gerechtvaardigde gronden aan de zijde van de verwerkingsverantwoordelijke daartegen pleiten. Volgens de considerans betekent dit dat de verwerkingsverantwoordelijke moet ‘aantonen’ dat zijn dwingende gerechtvaardigde belangen zwaarder wegen dan de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene.78. In de Santander-beschikking is de Hoge Raad (in de context van de door art. 8 lid 2 EVRM voorgeschreven belangenafweging) omwille van de ‘praktische hanteerbaarheid’ van de Wbp uitgegaan van een verdeling van stelplicht en bewijslast die inhoudt dat het in eerste instantie aan de rechthebbende is om ‘nadere gegevens’ te verschaffen die tot een hernieuwde belangenafweging kunnen leiden.79. Mijns inziens heeft hetzelfde te gelden in de context van art. 21 lid 1 AVG, nu die bepaling spreekt over een recht van de betrokkene om ‘vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken’ tegen de gegevensverwerking. Hierin ligt besloten dat de betrokkene specifieke redenen voor zijn bezwaar zal moeten aanvoeren (en zo nodig aantonen), waarna het aan de verwerkingsverantwoordelijke is om aan te voeren (en zo nodig aan te tonen) dat dwingende gerechtvaardigde gronden aan zijn zijde voor afwijzing van het bezwaar pleiten.80.

Maakt de rechthebbende overeenkomstig art. 21 lid 1 AVG bezwaar tegen de verwerking, dan heeft hij ingevolge art. 17 lid 1, aanhef en onder c, AVG tevens recht op wissing van de hem betreffende persoonsgegevens (ook wel het ‘recht op vergetelheid’ genoemd).81. Het recht op gegevenswissing na bezwaar geldt alleen als er ‘geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking’ zijn (een variant van de zojuist besproken tenzij-formule van art. 21 lid 1 AVG).82.

Het recht op bezwaar bestaat ingevolge art. 21 lid 1 AVG alleen bij een verwerking op de e- of f-grond.83. Een verwerking op de c-grond (nakoming van een wettelijke verplichting) is dus niet vatbaar voor bezwaar. Ter rechtvaardiging hiervan is in de memorie van toelichting bij de Wbp opgemerkt dat een wettelijke verplichting tot gegevensverwerking ‘in de regel zo weinig beoordelingsruimte voor de verantwoordelijke over[laat] dat in dergelijke gevallen een recht van verzet van de betrokkene niet zinvol is’.84.

Het recht op gegevenswissing na bezwaar (art. 17 lid 1 onder c AVG) is gelet op het voorgaande eveneens uitsluitend van toepassing bij een verwerking op de e- of f-grond. Art. 17 lid 1 AVG noemt nog meer situaties waarin een recht op gegevenswissing bestaat, bijvoorbeeld wanneer de gegevens niet langer nodig zijn voor het doel van de verwerking (sub a) of wanneer de rechthebbende een eerder gegeven toestemming intrekt (sub b). Ingevolge art. 17 lid 3 onder b AVG mist het recht op gegevenswissing evenwel toepassing als de gegevensverwerking nodig is voor het nakomen van een in het Unierecht of het lidstatelijke recht neergelegde ‘wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust’. Deze uitzondering correspondeert met de verwerkingsgrond van art. 6 lid 1 onder c AVG (nakoming van een wettelijke verplichting).85. Bij een verwerking op de c-grond bestaat er dus naar de letter van de AVG noch een recht op bezwaar, noch een recht op gegevenswissing.86.

Art. 12 lid 3 AVG regelt de beslistermijnen in geval van een verzoek krachtens de artikelen 15 tot en met 22 AVG, waaronder een verzoek om gegevenswissing (art. 17 AVG) en een verzoek tot staking van de gegevensverwerking uit hoofde van bezwaar (art. 21 AVG). De verwerkingsverantwoordelijke verstrekt de rechthebbende onverwijld en in ieder geval binnen één maand na ontvangst van het verzoek informatie over het gevolg dat daaraan is gegeven, onder opgave van de redenen daarvoor. Deze beslistermijn kan indien nodig met nog eens twee maanden worden verlengd.87.

Wordt het verzoek geweigerd, of heeft de rechthebbende anderszins gronden om te menen dat zijn rechten uit hoofde van de AVG zijn geschonden, dan heeft hij ingevolge art. 79 lid 1 AVG het recht om een ‘doeltreffende voorziening in rechte’ in te stellen. Ter uitwerking hiervan is in art. 34 UAVG bepaald dat een schriftelijke beslissing op een verzoek krachtens de artikelen 15 tot en met 22 AVG (zoals een beslissing op bezwaar en/of op een verzoek om gegevenswissing) heeft te gelden als een besluit in de zin van de Algemene wet bestuursrecht (Awb), voor zover die beslissing is genomen door een bestuursorgaan. In dat geval zijn de rechtsmiddelen en de termijnen uit de Awb van toepassing, waaronder de in art. 6:7 Awb neergelegde termijn van zes weken voor het instellen van beroep bij de bestuursrechter.

Is de beslissing genomen door een private partij, dan kan de rechthebbende ingevolge art. 35 lid 1 UAVG een verzoekschriftprocedure bij de rechtbank instellen, waarin hij veroordeling van de verwerkingsverantwoordelijke verzoekt om alsnog te voldoen aan het verzoek als bedoeld in de artikelen 15 tot en met 22 AVG. Art. 35 lid 2 UAVG bepaalt, naar analogie van de bestuursrechtelijke beroepstermijn,88. dat het verzoekschrift binnen zes weken na ontvangst van het antwoord van de verwerkingsverantwoordelijke moet worden ingediend. Indien de verwerkingsverantwoordelijke niet binnen de in art. 12 lid 3 AVG genoemde beslistermijn van in beginsel één maand heeft geantwoord, is de indiening van het verzoekschrift niet aan een termijn gebonden, zo vervolgt art. 35 lid 2 UAVG.

In de praktijk worden geschillen over de verwerking van persoonsgegevens, met name waar het bezwaren tegen een kredietregistratie betreft, vaak aan de voorzieningenrechter in kort geding voorgelegd. Volgens vaste jurisprudentie staat de bijzondere rechtsingang van art. 35 lid 1 UAVG (een verzoekschriftprocedure) hieraan niet in de weg. Wel oordelen de meeste rechters in kort geding, evenals de voorzieningenrechter in deze zaak,89. dat de eiser niet-ontvankelijk moet worden verklaard, indien de gevraagde voorziening strekt tot staking van de verwerking van persoonsgegevens en de dagvaarding is uitgebracht ná het verstrijken van de in art. 35 lid 2 UAVG genoemde termijn.90. Het gerechtshof Amsterdam heeft deze lijn in een principieel gemotiveerd arrest bevestigd, met de kanttekening dat de eiser ingevolge art. 21 lid 1 AVG ‘te allen tijde’ — en derhalve ‘meermalen’ (aldus het hof) — bezwaar kan instellen tegen de gegevensverwerking. Na het verstrijken van de in art. 35 lid 2 UAVG genoemde termijn zal de eiser daarom volgens het hof in beginsel eerst opnieuw bezwaar moeten maken, dan wel zijn spoedeisend belang in kort geding moeten onderbouwen ‘tegen de achtergrond van het stelsel van artikel 21 AVG en 35 UAVG’.91. Volledigheidshalve teken ik hierbij aan dat in de rechtspraak van het HvJEU nog niet is uitgemaakt of (c.q. in hoeverre) op grond van art. 21 lid 1 AVG inderdaad ‘meermalen’ eenzelfde verzoek tot staking van een gegevensverwerking kan worden ingediend.92.

In alinea 2.36 e.v. bleek al dat bij toepassing van de c-grond geen recht op bezwaar of gegevenswissing bestaat. Dit betekent dat ook de termijn van art. 35 lid 2 UAVG dan strikt genomen toepassing mist, zoals de voorzieningenrechter in rov. 4.4 van het tussenvonnis in deze zaak heeft aangenomen.93. Hiervan uitgaande zou een gegevensverwerking op de c-grond tot in lengte van jaren kunnen worden aangevochten (al dan niet in kort geding). Sommige auteurs betogen echter dat de termijn van art. 35 lid 2 UAVG steeds zou moeten gelden, ongeacht de toepasselijke verwerkingsgrondslag.94. Deze discussie illustreert opnieuw het belang van het onderscheid tussen de verschillende verwerkingsgronden.95.

Tot zover inventariseerde ik het Europeesrechtelijke kader van de AVG en de aanverwante regelgeving. In deze zaak gaat het om de vraag hoe de nationale wet- en regelgeving inzake kredietregistratie inpasbaar is in dat Europeesrechtelijke kader. Meer concreet is de vraag of de uit de Wet op het financieel toezicht (Wft)96. en de aanverwante regelgeving voortvloeiende verplichting van kredietaanbieders om deel te nemen aan een stelsel van kredietregistratie en om in voorkomende gevallen dat stelsel te raadplegen, als een wettelijke verplichting in de zin van art. 6 lid 1 onder c AVG is aan te merken. Met het oog op de beantwoording van die vraag inventariseer ik hierna de wet- en regelgeving op het gebied van het financieel toezicht, gevolgd door een bespreking van de bijbehorende wetsgeschiedenis, een en ander voor zover relevant voor deze zaak.

Art. 4:32 lid 1 Wft verplicht kredietaanbieders om deel te nemen aan een stelsel van kredietregistratie. De bepaling luidt als volgt:

Een vergelijkbare bepaling was eertijds opgenomen in art. 14 lid 2 van de Wet op het consumentenkrediet (Wck)97. en art. 52 van de Wet financiële dienstverlening (Wfd).98. Beide bepalingen zijn inmiddels vervallen, maar de hierna te bespreken totstandkomingsgeschiedenis ervan is mede van belang voor een goed begrip van art. 4:32 lid 1 Wft.

Art. 4:34 lid 1 Wft verplicht aanbieders van consumentenkrediet om, ter voorkoming van overkreditering van de consument, informatie in te winnen over de financiële positie van de consument en te beoordelen of de beoogde kredietverlening verantwoord is. Dit wordt ook wel de zorgplicht ter voorkoming van overkreditering genoemd. De bepaling luidt als volgt:

Een soortgelijke bepaling was eertijds opgenomen in art. 28 Wck en art. 51 Wfd.

De zorgplicht ter voorkoming van overkreditering is (op de grondslag van art. 4:34 lid 3 Wft) uitgewerkt in art. 114 van het Besluit Gedragstoezicht financiële ondernemingen Wft (BGfo).99. Deze bepaling luidt als volgt:

Art. 4:34 lid 2 Wft bevat een op het eerste lid voortbouwende bepaling, inhoudende dat een consumentenkrediet of een belangrijke verhoging daarvan moet worden geweigerd indien het krediet respectievelijk de verhoging met het oog op overkreditering van de consument onverantwoord is. Deze zogenaamde weigeringsplicht is uitgewerkt in art. 113 lid 1 BGfo, dat bepaalt:

Volledigheidshalve wijs ik nog op art. 115 BGfo, waarin is bepaald dat een kredietaanbieder, ter voorkoming van overkreditering van de consument, de criteria vastlegt en toepast die hij ten grondslag legt aan de beoordeling van een kredietaanvraag van een consument (lid 1). De aan te leggen inkomenscriteria worden bij ministeriële regeling bepaald (lid 3).

De zorgplicht ter voorkoming van overkreditering heeft mede een Europeesrechtelijke achtergrond. Art. 8 lid 1 van Richtlijn 2008/48/EG (hierna: de Richtlijn consumentenkrediet)100. bepaalt dat lidstaten ervoor zorgen dat de kredietaanbieder vóór het sluiten van de kredietovereenkomst de kredietwaardigheid van de consument beoordeelt, op basis van toereikende informatie die is verkregen van de consument en, waar nodig, op basis van raadpleging van ‘het desbetreffende gegevensbestand’.101. Art. 9 regelt de toegang tot zulke ‘gegevensbestanden’, in de richtlijn ook ‘gegevensbanken’ genoemd. Het artikel eist niet dat lidstaten kredietaanbieders verplichten tot deelname aan gegevensbanken, maar wel dat de gegevensbanken toegankelijk zijn voor kredietaanbieders uit alle lidstaten, onder voorwaarden die niet discriminerend zijn (art. 9 lid 1). Het artikel doet geen afbreuk aan de toepassing van de Richtlijn bescherming persoonsgegevens (art. 9 lid 4), thans de AVG. Soortgelijke bepalingen zijn opgenomen in art. 18 en 21 van Richtlijn 2014/17/EU inzake hypothecair krediet.102.

Uit het voorgaande blijkt dat kredietaanbieders wettelijk verplicht zijn tot deelname aan ‘een stelsel van kredietregistratie’ (art. 4:32 lid 1 Wft) en dat zij, als uitvloeisel van hun wettelijke zorgplicht ter voorkoming van overkreditering (art. 4:34 lid 1 Wft), in voorkomende gevallen ook verplicht zijn tot raadpleging van de gegevens die zijn opgenomen in het stelsel van kredietregistratie waaraan zij deelnemen (art. 114 BGfo). In de wet- en regelgeving is niet bepaald welk stelsel van kredietregistratie als zodanig in aanmerking komt. Uit de hierna te bespreken wetsgeschiedenis blijkt echter dat de wetgever primair het oog heeft gehad op het door het BKR aangeboden stelsel (het CKI103.), dat tot op heden het enige in Nederland aangeboden stelsel is dat voldoet aan de eisen van art. 4:32 lid 1 Wft in samenhang met art. 9 van de Richtlijn consumentenkrediet.

Uit de hiervoor besproken wetsgeschiedenis blijkt dat de wetgever de inrichting van het stelsel van kredietregistratie (als bedoeld in art. 4:32 lid 1 Wft en art. 114 BGfo) welbewust ‘aan de markt’ heeft overgelaten. Omdat het BKR vooralsnog de enige Nederlandse aanbieder is van een stelsel van kredietregistratie dat aan de wettelijke eisen voldoet, komt de op kredietaanbieders rustende wettelijke verplichting tot deelname aan en raadpleging van ‘een stelsel van kredietregistratie’ in de praktijk neer op een verplichting tot deelname aan en raadpleging van het BKR (meer bepaald het CKI van het BKR).128.

Uit de wet- en regelgeving en de wetsgeschiedenis blijkt niet welke gegevens in het BKR geregistreerd mogen of moeten worden en evenmin onder welke voorwaarden de gegevensverwerking door het BKR en de daarbij aangesloten kredietaanbieders plaatsvindt, bijvoorbeeld hoelang de geregistreerde gegevens mogen of moeten worden bewaard en in welke gevallen zij mogen of moeten worden gewist. Wel blijkt uit de wet en de wetsgeschiedenis met welk doel de deelname aan en raadpleging van het CKI plaatsvindt, namelijk ten behoeve van het inwinnen van informatie over de financiële positie van de consument, zulks ter voorkoming van overkreditering van de consument.129. Dat is de doelstelling die ook uitdrukkelijk in art. 4:34 lid 1 Wft is genoemd. Dezelfde doelstelling komt ook tot uitdrukking in onderdeel 26 van de Richtlijn consumentenkrediet, waar wordt gesproken over het belang ‘dat kredietgevers zich niet inlaten met onverantwoorde leningpraktijken of kredieten toestaan zonder de kredietwaardigheid vooraf te hebben beoordeeld’.

Het BKR heeft het door hem aangeboden stelsel van kredietregistratie nader vormgegeven door de vaststelling van het ‘Algemeen reglement CKI’ (hierna: het CKI-reglement).130. Dit is een contractuele regeling die de verhouding tussen het BKR en de daarbij aangesloten ‘zakelijke klanten’ (de kredietaanbieders) beheerst (art. 2).131. Volgens het CKI-reglement verwerkt het BKR persoonsgegevens ter bevordering van een ‘maatschappelijk verantwoorde dienstverlening’. Deze doelstelling is tweeledig. Enerzijds wil het BKR ‘consumenten behoeden voor overkreditering en andere financiële problemen’. Anderzijds levert het BKR voor haar zakelijke klanten ‘een bijdrage aan het beperken van de financiële risico's bij kredietverlening en aan het voorkomen en bestrijden van misbruik en fraude’ (art. 3 lid 1).132.

De gegevensverwerking in het CKI vindt volgens het reglement haar rechtmatige grondslag in art. 6 lid 1 onder f van de AVG, ‘omdat de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van Stichting BKR en haar zakelijke klanten’ (art. 3 lid 4). De inleiding bij het CKI-reglement vermeldt (op pagina 3, zonder onderbouwing) dat het melden van leningen aan het BKR een ‘wettelijke verplichting’ voor kredietverstrekkers in Nederland is.

In het CKI-reglement is omschreven welke persoonsgegevens het BKR verwerkt, welke gegevens zakelijke klanten moeten melden bij het BKR en binnen welke termijn dat moet gebeuren (art. 9 e.v.). Ook is gespecificeerd wanneer persoonsgegevens uit het CKI worden verwijderd (art. 14). Daarbij geldt als uitgangspunt dat gegevens van afgelopen kredietovereenkomsten vijf jaren na de einddatum worden verwijderd (art. 14 lid 1), terwijl achterstanden, herstelmeldingen en bijzonderheidscoderingen met betrekking tot lopende overeenkomsten vijf jaren na de registratiedatum, respectievelijk na de herstelmelding worden verwijderd (art. 14 leden 3 e.v.). Het is de zakelijke klant (de kredietaanbieder) niet toegestaan om een contract, achterstand, herstelcode en/of bijzonderheidscodering uit het CKI te verwijderen, tenzij er sprake is van (a) een onterechte registratie, (b) een terechte registratie die onder de gegeven omstandigheden disproportioneel blijkt of (c) een rechterlijke uitspraak of uitspraak van een geschillencommissie die tot verwijdering dwingt (art. 14 lid 10).

Blijkens het voorgaande berust de verwerking van persoonsgegevens door het BKR niet op een wettelijke grondslag, maar op het CKI-reglement, een vorm van zelfregulering die weliswaar uitdrukkelijk is aanvaard door de wetgever (vgl. alinea 2.53), maar die geen expliciete basis heeft in de wet- en regelgeving.

Bij brief van 14 november 2019 heeft de Autoriteit Persoonsgegevens (de in Nederland aangewezen toezichthoudende autoriteit in de zin van art. 51 AVG; hierna AP) aan de minister van Financiën bericht dat naar haar mening geen toereikende wettelijke grondslag bestaat voor de verwerking van persoonsgegevens in het kader van de kredietregistratie. Volgens de AP bevat de Wft voor kredietaanbieders weliswaar concrete verplichtingen om deel te nemen aan een stelsel van kredietregistratie en om dat stelsel te raadplegen, maar zijn deze verplichtingen ‘met betrekking tot de verwerking van persoonsgegevens (…) niet verder uitgewerkt’. Zo ontbreken regels over ‘de vormgeving, bewaartermijnen en waarborgen van het register’. Ook is onduidelijk wie dat register mag raadplegen, wanneer dat mag en onder welke voorwaarden, alsmede hoe lang de geregistreerde gegevens mogen worden bewaard. De (hiervoor in alinea 2.55 geciteerde) wetsgeschiedenis refereert weliswaar aan de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer, maar dit is tot op heden ‘niet verder uitgewerkt in concrete wetgeving’. Het gevolg hiervan is volgens de AP dat de ‘onvrijwillige verwerkingen die noodzakelijk zijn om invulling te kunnen geven aan die [op kredietaanbieders rustende] zorgplichten’ enkel gebaseerd kunnen worden op de f-grond van art. 6 lid 1 AVG. Dit betekent dat ‘steeds per verwerking en per cliënt dient te worden beoordeeld of de verwerking noodzakelijk is en blijft en zwaarder weegt dan de bescherming van de persoonsgegevens van de betrokkene’.133.

De AP signaleert in dit verband dat het BKR zelf geen beroep kan doen op de zorgplichten in de Wft (als grondslag voor de gegevensverwerking), aangezien die zorgplichten ‘enkel rusten op de kredietaanbieders’.134. Het AP adviseert de minister om wetgeving tot stand te brengen waarbij (i) de inbreuk op de grondrechten van betrokkenen expliciet wordt afgewogen tegen het betrokken algemene belang (voorkoming van overkreditering), (ii) het beheer van het stelsel van kredietregistratie als wettelijke taak of verplichting aan een bepaalde beheerder wordt opgedragen en (iii) wordt voorzien in duidelijke waarborgen voor de betrokkenen en voor een goede taakuitoefening.135.

Bij brief van 12 december 2019 heeft de minister van Financiën aan de Tweede Kamer bericht het advies van de AP ter harte te nemen. De minister onderschreef in deze brief het belang van een zorgvuldige verwerking van persoonsgegevens in het kader van de kredietregistratie. Om ervoor te zorgen dat ‘een goed, betrouwbaar systeem van kredietregistratie voor nu en voor de toekomst wettelijk geborgd is’, zou de minister in overleg met stakeholders ‘bezien hoe het stelsel kan worden verbeterd en welke waarborgen daarbij passen’. Hij streefde ernaar om voor het einde van 2020 een conceptwetsvoorstel in internetconsultatie te brengen.136.

Bij brief van 27 oktober 2020 schreef de minister, onder verwijzing naar zijn brief van 12 december 2019, dat het aangekondigde overleg met stakeholders had plaatsgevonden en dat het beoogde ‘Wetsvoorstel kredietregistratie’ binnen enkele maanden in consultatie zou worden gebracht.137.

Eind april 2021 heeft de minister van Sociale Zaken en Werkgelegenheid, mede namens de minister van Financiën, Kamervragen beantwoord over een eerder namens de regering gedane toezegging om met het BKR in gesprek te gaan over ‘de lengte van de registratietermijn, met daarbij specifieke aandacht voor mensen wier registratie gerelateerd is aan corona’. In dat verband heeft de minister opgemerkt dat uit art. 4:34 Wft en de artikelen 113 tot en met 115 BGfo volgt dat kredietverstrekkers, met het oog op de beoordeling of het aangaan van een kredietovereenkomst met een consument verantwoord is, ‘kredietovereenkomsten [moeten] registreren in een stelsel van kredietregistratie’ en dat zij in het kader van die beoordeling ‘verplicht [zijn] het stelsel van kredietregistratie te raadplegen’.138. Raadpleging van het BKR is volgens de minister ‘een belangrijk instrument om inzicht te krijgen in welke kredieten een consument al heeft’. Inzicht in de ‘betaalgeschiedenis’ heeft tot doel om ‘betalingsproblemen in de toekomst te voorkomen’. De termijnen voor het bewaren van kredietregistraties zijn momenteel geregeld in de reglementen van het BKR. De minister heeft in dit verband het eerder aangekondigde Wetsvoorstel kredietregistratie gememoreerd en medegedeeld dat het streven is om dit wetsvoorstel rond de zomer van 2021 in consultatie te brengen.139. Verder heeft de minister nog opgemerkt dat hij vooralsnog geen aanleiding ziet om het BKR te vragen om verkorting van de gehanteerde registratietermijn, aangezien daarmee ‘een bescherming tegen overkreditering’ zou vervallen.140.

Volledigheidshalve vermeld ik dat de wetgever in een specifieke context, namelijk die van de bekende ‘Toeslagenaffaire’, heeft voorzien in een wettelijke regeling op grond waarvan kredietregistraties van gedupeerde ouders die in aanmerking komen voor een forfaitaire tegemoetkoming ‘per omgaande verwijderd [worden] uit het stelsel van kredietregistratie’.141. Op dit specifieke punt voorziet de wet dus in een grondslag voor de verwerking (meer bepaald de verwijdering) van persoonsgegevens in het BKR.

Sinds de inwerkingtreding van de AVG (medio 2018) is in de lagere rechtspraak ter discussie komen te staan op welke van de in art. 6 lid 1 AVG genoemde verwerkingsgronden de kredietregistratie in het CKI van het BKR berust. Onder het regime van de op dit punt gelijkluidende Wbp leek hierover geen discussie te bestaan. De memorie van toelichting bij de Wbp vermeldde met zoveel woorden dat kredietregistratie op de f-grond plaatsvond:

Hiervoor bleek al dat de Autoriteit Persoonsgegevens (alinea 2.70) en het BKR zelf (alinea 2.67) eveneens uitgaan van toepasselijkheid van de f-grond. Ook de Artikel 29-Groep (alinea's 2.24 en 2.28) en de eerder geciteerde buitenlandse literatuur (alinea 2.25) verwijzen voor kredietregistraties primair naar de f-grond, zij het niet specifiek in de Nederlandse context. In de nationale literatuur heb ik geen uitgesproken standpunten over de toepasselijke verwerkingsgrondslag aangetroffen.143.

In de gepubliceerde lagere rechtspraak over de AVG-toetsing van kredietregistraties lijken verwijzingen naar de f-grond de boventoon te voeren.144. Ik telde twaalf uitspraken waarin kredietregistraties op de f-grond werden beoordeeld, hetgeen in de meerderheid van die gevallen leidde tot een (gedeeltelijke) toewijzing van de vordering of het verzoek.145. In negen zaken trof ik verwijzingen naar de c-grond aan (soms in combinatie met de f-grond). In bijna al die zaken werd de vordering of het verzoek afgewezen.146. De lagere rechtspraak lijkt dus ruimhartiger voor de rechthebbende in de context van de f-grond dan in de context van de c-grond. Dat sluit aan bij de systematiek van de AVG, die alleen ten aanzien van gegevensverwerkingen op de e- en f-grond voorziet in een recht van bezwaar (alinea 2.36).

Inmiddels hebben alle gerechtshoven zich uitgesproken over de materie. Er zijn vier lijnen in de appelrechtspraak waarneembaar, die ik hierna in vogelvlucht zal behandelen.

Het gerechtshof Den Bosch heeft in een uitvoerig gemotiveerd arrest van 6 augustus 2020 de c-grond toepasselijk geoordeeld (de eerste lijn). Volgens het hof vloeit uit het ‘systeem van kredietregistratie’, dat zowel Unierechtelijk (ingevolge de Richtlijn consumentenkrediet) als nationaalrechtelijk (ingevolge art. 4:32 en 4:34 Wft) is voorgeschreven, dat er niet alleen gegevens worden geregistreerd, maar ook dat de geregistreerde gegevens gedurende een zekere termijn worden bewaard. Dit laatste is volgens het hof ‘inherent aan het voorgeschreven systeem’, met het oog op de beoogde voorkoming van overkreditering (rov. 3.5.13.1). Het hof deelt niet de visie van de AP, dat de kredietregistratie uitsluitend op de f-grond zou berusten. Dit zou immers betekenen ‘dat er enerzijds een verplicht systeem is van raadplegen van kredietregistratie en derhalve een verplichting tot meewerken aan het instandhouden van dat systeem’, terwijl anderzijds ‘zelfs de meest voor de hand liggende uitvoeringshandelingen binnen dit systeem’ niet onder de noodzakelijke verwerking ter uitvoering van een wettelijke verplichting zouden vallen. Een dergelijk onderscheid acht het hof ‘niet alleen voorshands onwerkbaar in het kader van een adequate en wettelijk verplichte kredietregistratie, maar evenmin nodig om de belangen van de betrokkene conform de AVG adequaat te beschermen’ (rov. 3.5.14). Het hof neemt hierbij in aanmerking dat de verwerking te allen tijde (ook bij toepassing van de c-grond) moet worden getoetst aan de beginselen van proportionaliteit en subsidiariteit, als bedoeld in de Santander-beschikking (rov. 3.5.15). Dat een wettelijke regeling als door de AP bepleit ‘evidente voordelen’ heeft, doet volgens het hof aan het voorgaande niet af (rov. 3.5.16). Het hof concludeert dat banken ter uitvoering van hun ‘wettelijke plicht tot deelname aan een kredietregistratiesysteem (en alles wat daar noodzakelijk bij hoort)’ persoonsgegevens ‘mogen laten verwerken’ door het BKR op grond van art. 6 lid 1 onder c AVG (rov. 3.5.17).147.

Het gerechtshof Den Haag heeft bij beschikking van 8 september 2020 uitsluitend de f-grond toepasselijk geoordeeld (de tweede lijn, waarbij de voorzieningenrechter zich in rov. 4.8 van het tussenvonnis in deze zaak heeft aangesloten). Dat de verwerking van persoonsgegevens in kredietregistraties noodzakelijk is om te voldoen aan een wettelijke verplichting van de verwerkingsverantwoordelijke, acht het hof ‘niet aannemelijk’. Art. 4:32 lid 1 Wfz behelst immers slechts een verplichting tot deelname aan een stelsel van kredietregistratie. Volgens het hof kan niet gezegd worden dat de kredietaanbieder niet aan die ‘deelnemingsverplichting’ voldoet als zij de gegevens van de verzoekster niet in het CKI verwerkt. Het hof gaat er dan ook van uit dat de kredietregistratie op de f-grond berust en dat de verzoekster op grond van art. 21 lid 1 AVG het recht van bezwaar toekomt.148. Bij beschikking van 10 november 2020 heeft het hof deze redenering herhaald, met de kanttekening dat het voor de toepasselijkheid van de proportionaliteits- en subsidiariteitstoets ‘geen wezenlijk verschil’ maakt of de verwerking op de c-grond of de f-grond berust, aangezien die toets bij alle in art. 6 lid 1 AVG genoemde grondslagen moet worden uitgevoerd.149. Volledigheidshalve wijs ik nog op de beschikkingen van 24 september 2019 en 18 mei 2021, waarin het Haagse hof een kredietregistratie aan art. 21 AVG toetste, hetgeen doet vermoeden dat het hof ook in die beschikkingen (stilzwijgend) van toepasselijkheid van de f-grond is uitgegaan.150.

Het gerechtshof Amsterdam heeft bij beschikking van 9 februari 2021 zowel de c-grond als de f-grond toepasselijk geoordeeld (de derde lijn). Volgens het hof biedt art. 6 lid 1 onder f AVG ‘in ieder geval een grondslag’ voor de BKR-registratie. Voor zover de kredietaanbieder als verwerkingsverantwoordelijke in de zin van de AVG is te beschouwen, biedt ‘ook artikel 6 lid 1 onder c AVG een grondslag’. Aan de wettelijke verplichting tot deelname aan en raadpleging van een stelsel van kredietregistratie (art. 4:32 en 4:34 Wft in verbinding met art. 114 BGfo) is volgens het hof ‘inherent dat met consumentenkredieten verband houdende persoonsgegevens worden verwerkt in een kredietregistratiesysteem en gedurende een bepaalde termijn beschikbaar worden gehouden’. De (handhaving van de) registratie van gegevens in het CKI is daarom volgens het hof noodzakelijk om te voldoen aan deze wettelijke verplichtingen. Evenals het Haagse hof oordeelt het Amsterdamse hof overigens dat de grondslag van de verwerking ‘niet ter zake’ doet voor de toepassing van de proportionaliteits- en subsidiariteitstoets. Niettemin voert het hof twee afzonderlijke toetsingen uit, één op basis van de c-grond (de Santander-toets) en één op basis van de f-grond (de toets aan art. 21 AVG).151. Volledigheidshalve wijs ik nog op een beschikking van 16 februari 2021, waarin het Amsterdamse hof zijn beslissing heeft aangehouden in afwachting van de beantwoording van de nu voorliggende prejudiciële vragen door de Hoge Raad.152.

Het gerechtshof Arnhem-Leeuwarden heeft bij beschikking van 17 december 2020 de zienswijze van het Bossche hof onderschreven (de eerste lijn), en die van het Haagse hof verworpen.153. Bij arrest van 3 december 2019 had dit hof ook al toepassing gegeven aan de c-grond, daartoe overwegende (i) dat kredietaanbieders op grond van art. 4:32 lid 1 Wft verplicht zijn deel te nemen aan een stelsel van kredietregistratie, (ii) dat het CKI het enige in Nederland bestaande stelsel van kredietregistratie is en (iii) dat deelnemers aan het CKI gebonden zijn aan het CKI-reglement. Registratie van persoonsgegevens bij het BKR vindt daarom volgens het hof plaats op grond van een wettelijke plicht als bedoeld in art. 6 lid 1 onder c AVG.154. Bij beschikking van 14 januari 2020 heeft hetzelfde hof (in een andere samenstelling) toepassing gegeven aan art. 21 AVG, daarmee impliciet suggererend dat de f-grond toepasselijk zou zijn.155. Bij beschikking van 23 februari 2021 heeft dit hof wederom toepassing gegeven aan art. 21 AVG, nochtans uitgaande van toepasselijkheid van de c-grond. In dat kader overwoog het hof dat het CKI, om een ‘zinvolle invulling’ te kunnen geven aan de zorgplicht ter voorkoming van overkreditering, gegevens zal moeten bevatten over de kredieten die kredietaanbieders aan consumenten hebben verstrekt. Het melden van betalingsachterstanden aan het BKR is daarom volgens het hof ‘noodzakelijk’ om aan de verplichtingen van art. 4:32 en 4:34 Wft te kunnen voldoen. Tegen deze achtergrond verwierp het hof de stelling van de verzoeker, dat de kredietregistratie ‘uitsluitend gebaseerd kan zijn op artikel 6 lid 1 onder f AVG’.156. Al met al tendeert het gerechtshof Arnhem-Leeuwarden in de richting van de c-grond, al lijkt in dit ressort geen sprake te zijn van een eenduidige lijn.

Volledigheidshalve merk ik nog op dat er ook feitenrechters zijn die de grondslag van de gegevensverwerking in het midden laten en enkel een belangenafweging uitvoeren aan de hand van de beginselen van proportionaliteit en subsidiariteit.157. Dat is een vierde lijn, die aansluit bij de pragmatische benadering die de Hoge Raad eertijds in de Santander-beschikking heeft gekozen (alinea 2.5).

De eerste prejudiciële vraag betreft de toepasselijke verwerkingsgrondslag, het voornaamste discussiepunt in deze zaak. Deze vraag luidt als volgt:

Bij de bespreking van deze vraag stel ik het volgende voorop. Niet ter discussie staat dat kredietregistratie een verwerking van persoonsgegevens in de zin van art. 4 onder 1 en 2 AVG inhoudt. Beide partijen in deze zaak gaan daarvan uit, evenals het BKR in onder meer art. 3, 9 en 14 van het CKI-reglement. In de besproken lagere rechtspraak vormt dit ook geen discussiepunt.158. In de Santander-beschikking werd een CKI-registratie ook reeds als een verwerking van persoonsgegevens in de zin van de Wbp aangemerkt.159. Of alle in het CKI geregistreerde gegevens onder de reikwijdte van de AVG vallen,160. kan in het midden blijven.

Evenmin staat ter discussie dat zowel het BKR161. als de kredietaanbieders (Hoist in dit geval) als verwerkingsverantwoordelijken in de zin van art. 4 onder 7 AVG hebben te gelden. Art. 7 lid 4 van het CKI-reglement merkt de kredietaanbieders met zoveel woorden als verwerkingsverantwoordelijken aan. Ook de lagere rechtspraak gaat daarvan uit.162. Aangenomen dat (naar ik begrijp) kredietaanbieders zelfstandig kredieten en kredietgegevens in het CKI registreren en zelfstandig beslissen om die gegevens in voorkomende gevallen al dan niet voor bepaalde doeleinden te raadplegen (respectievelijk te wijzigen, te verwijderen of anderszins te verwerken), kunnen de kredietnemers mijns inziens inderdaad worden aangemerkt als degenen die, tezamen met het BKR als beheerder van het CKI, ‘het doel van en de middelen voor de verwerking van persoonsgegevens’ vaststellen (in de zin van art. 4 onder 7 AVG). Hun rol lijkt, hiervan uitgaande, minder goed vergelijkbaar met die van een ‘verwerker’ als bedoeld in art. 4 onder 8 AVG, zijnde een louter administratief betrokken derde die namens en onder verantwoordelijkheid van de verwerkingsverantwoordelijke (in dit geval het BKR) persoonsgegevens verwerkt. Het voorgaande is van belang omdat art. 6 lid 1 onder c AVG vereist dat de wettelijke verplichting op de verwerkingsverantwoordelijke rust, en het BKR in elk geval niet wettelijk verplicht is tot kredietregistratie.163.

Ter afbakening merk ik verder op dat de mogelijke toepasselijkheid van de f-grond o p gegevensverwerkingen in het CKI geen discussiepunt vormt. In alle besproken rechtspraak wordt de f-grond als een potentieel ‘vangnet’ (zo niet als enige toepasselijke verwerkingsgrondslag) voor CKI-registraties beschouwd. Dat met de registratie van kredietgegevens in het CKI ‘gerechtvaardigde belangen’ in de zin van art. 6 lid 1 onder f AVG kunnen worden gediend, staat met andere woorden buiten kijf.

Gelet op het voorgaande strekt de prejudiciële vraag ertoe te vernemen of de c-grond toepasselijk is op kredietregistraties in het CKI.164. Zo ja, dan heeft de kredietregistratie in beginsel als rechtmatig te gelden, zonder dat hiervoor (op voorhand) een belangenafweging door de betrokken kredietaanbieders is vereist. In dat geval hebben de betrokken kredietnemers ook geen recht van bezwaar en geen recht van gegevenswissing op grond van art. 17 en 21 AVG (alinea 2.36 e.v.). De kredietnemers moeten dan ‘terugvallen’ op de grondrechtelijke proportionaliteits- en subsidiariteitstoetsing als bedoeld in de Santander-beschikking (alinea 2.5). Indien de c-grond daarentegen toepassing mist, moet de kredietregistratie op de f-grond worden gebaseerd. Dit betekent dat elke gegevensverwerking in het CKI op een individuele belangenafweging moet berusten en dat kredietnemers ten aanzien van elke CKI-registratie bezwaar kunnen maken en gegevenswissing kunnen vragen. De feitelijke uitkomst van de beide benaderingswijzen behoeft niet te verschillen, maar duidelijk is wel dat de juridische inkadering — en daarmee in potentie ook de uitkomst — wezenlijk verschilt (vgl. alinea 2.6).

De vraag of art. 6 lid 1 onder c AVG toepasselijk is op CKI-registraties, is niet primair een Unierechtelijke vraag, maar in de eerste plaats een vraag van uitleg van de Nederlandse wet- en regelgeving. De vraag is of die wet- en regelgeving een op kredietaanbieders rustende verplichting tot verwerking van persoonsgegevens in het kader van een kredietregistratie behelst, en of die verplichting voldoet aan de door de AVG gestelde eisen van duidelijkheid, nauwkeurigheid en voorspelbaarheid (alinea 2.20 e.v.).

Als wettelijke grondslag voor een dergelijke verplichting komt enerzijds art. 4:32 lid 1 Wft in aanmerking (de wettelijke verplichting tot deelname aan een stelsel van kredietregistratie) en anderzijds art. 4:34 lid 1 Wft (de wettelijke zorgplicht ter voorkoming van overkreditering), zoals nader uitgewerkt in art. 114 BGfo (de verplichting om bij kredieten van meer dan € 250 het stelsel van kredietregistratie te raadplegen). Tezamen behelzen deze bepalingen een op kredietaanbieders rustende verplichting tot deelname aan en raadpleging van een stelsel van kredietregistratie (alinea 2.44 e.v.).

Mijns inziens bevatten de voornoemde bepalingen geen voldoende duidelijke, nauwkeurige en voorspelbare verplichting tot verwerking van persoonsgegevens in het kader van een kredietregistratie. Weliswaar blijkt uit de wetsgeschiedenis voldoende duidelijk welk stelsel van kredietregistratie is bedoeld, namelijk het CKI van het BKR (alinea 2.50 e.v.), en ook met welk doel de deelname aan en raadpleging van het CKI plaatsvinden, namelijk ten behoeve van het inwinnen van informatie over de financiële positie van de consument, zulks ter voorkoming van overkreditering (alinea 2.65). Maar met betrekking tot de vereiste verwerking van persoonsgegevens is het wettelijk kader onvoldoende uitgewerkt, zoals ook de Autoriteit Persoonsgegevens heeft geconstateerd in haar door de minister onderschreven advies (alinea 2.70 e.v.). De Wft en het BGfo maken met name niet duidelijk welke gegevens in het CKI geregistreerd mogen of moeten worden en onder welke voorwaarden de gegevensverwerking in het CKI plaatsvindt. Een en ander is uitgewerkt in het CKI-reglement van het BKR. Dat is echter een contractuele regeling waarvoor geen wettelijke basis bestaat (alinea 2.66 e.v.). De parallel die Hoist trekt met private regulering op wettelijke grondslag gaat reeds daarom niet op.165. Volledigheidshalve merk ik hierbij op dat het CKI-reglement ook geen gedragscode is als bedoeld in art. 40 AVG.166.

In navolging van het gerechtshof Den Bosch, het gerechtshof Amsterdam en het gerechtshof Arnhem-Leeuwarden (alinea 2.80 e.v.) zou men kunnen tegenwerpen dat gegevensverwerking in het CKI inherent is aan het wettelijke systeem en/of noodzakelijk om te kunnen voldoen aan de wettelijke verplichting tot deelname aan en raadpleging van een stelsel van kredietregistratie.167. Inderdaad hebben deelname aan en raadpleging van het CKI weinig zin, als er geen relevante en toereikende kredietgegevens in het CKI geregistreerd worden. Bovendien geldt dat het ‘raadplegen’ van het CKI, zoals in voorkomende gevallen voorgeschreven op grond van art. 114 BGfo, reeds een gegevensverwerking in de zin van art. 4 onder 2 AVG oplevert. Zo beschouwd kan men zeggen dat enigerlei vorm van gegevensverwerking, namelijk in elk geval het registreren van sommige gegevens en in voorkomende gevallen ook het raadplegen daarvan, besloten ligt in het wettelijk voorgeschreven systeem van kredietregistratie.

Mijns inziens biedt deze benadering echter geen uitkomst, omdat zij de vervolgvraag doet rijzen welke gegevensverwerking inherent is aan het wettelijke systeem, respectievelijk noodzakelijk om te voldoen aan de wettelijke deelname- en raadplegingsverplichting. Op díe vraag geven de Wft en het BGfo geen antwoord. Deze regelingen staan in het teken van de regulering van (het toezicht op) de financiële sector. De bijbehorende wetsgeschiedenis geeft er geen blijk van dat de wetgever in dat kader een afweging heeft gemaakt van de beoogde voorkoming van overkreditering van consumenten enerzijds en de met kredietregistratie gepaard gaande privacyaantasting bij consumenten anderzijds.168. De wetgever heeft de regulering van de privacyaspecten overgelaten aan de financiële sector, die daarin heeft voorzien door middel van het CKI-reglement. Zoals gezegd heeft dat reglement niet de status van een wet in materiële zin en berust het ook niet op een wettelijke grondslag.

Gelet op het voorgaande is niet voldaan aan de door art. 6 lid 3 AVG gestelde eis van een rechtsgrond in het Unierecht of het lidstatelijke recht, en aan de desbetreffende eisen van duidelijkheid, nauwkeurigheid en voorspelbaarheid (als bedoeld in onderdeel 41 van de considerans). Voor zover toch gezegd zou kunnen worden dat een voldoende duidelijke, nauwkeurige en voorspelbare verplichting tot gegevensverwerking besloten ligt in het wettelijk voorgeschreven systeem van kredietregistratie, voldoet die verplichting mijns inziens niet aan het noodzakelijkheidsvereiste van art. 6 lid 3 (slot) AVG, te weten dat de verplichting beantwoordt aan een doelstelling van algemeen belang en evenredig is met het nagestreefde gerechtvaardigde doel. Het betreft dan immers een niet geclausuleerde, impliciete wettelijke verplichting, waaraan geen kenbare afweging van de betrokken privacyaspecten door de wetgever ten grondslag ligt.

De in art. 14 van het CKI-reglement neergelegde bewaartermijn van vijf jaren is illustratief voor het tekort aan een adequate rechtsbasis. Stel dat het CKI zou besluiten om die termijn te verdubbelen (een scenario dat praktisch uitgesloten maar juridisch mogelijk lijkt), dan zou daarmee het verwerkingsregime aanzienlijk worden verzwaard ten laste van de kredietnemers, zonder dat daaraan een keuze van de wetgever ten grondslag ligt. Voor zulke situaties, waarin met betrekking tot de concrete naleving van een wettelijke verplichting een beoordelingsmarge bestaat (die in dit geval zelfs neerkomt op een ‘carte blanche’ voor het BKR bij de regulering van de privacyaspecten in het CKI-reglement), is de verwerkingsgrond van art. 6 lid 1 onder c AVG niet bedoeld (alinea 2.24).

Afgezien van deze principiële argumenten pleiten mijns inziens ook praktische overwegingen voor toepassing van de f-grond in plaats van de c-grond op kredietregistraties in het CKI. De grondrechtelijke status van het recht op gegevensbescherming brengt mee dat elke gegevensverwerking in het CKI (uiteindelijk) moet worden getoetst aan de beginselen van proportionaliteit en subsidiariteit als bedoeld in de Santander-beschikking. De f-grond biedt voor die toetsing mijns inziens een logischer beoordelingskader dan de c-grond, althans zolang specifieke wet- en regelgeving omtrent de privacyaspecten van kredietregistraties ontbreekt. Bij gebreke daarvan moet de c-grond ‘casuïstisch’ worden toegepast, door van geval tot geval te onderzoeken welke gegevensverwerking onder de gegeven omstandigheden noodzakelijk was met het oog op de nakoming van de zorgplicht ter voorkoming van overkreditering.169. Daarmee dwingt het grondrechtelijke kader tot een belangenafweging die minder goed past bij de c-grond, en juist kenmerkend is voor de f-grond.

Bij het voorgaande komt dat de f-grond in de AVG is gekoppeld aan een stelsel van rechtsbescherming dat de c-grond ontbeert. Het recht van gegevenswissing (art. 17 AVG) en het recht van bezwaar (art. 21 AVG) zijn naar de letter van de verordening niet van toepassing indien de gegevensverwerking op de c-grond berust (alinea 2.36 e.v.). Ook de in art. 35 lid 2 UAVG neergelegde termijn voor het entameren van een civiele procedure mist in dat geval strikt genomen toepassing. Analoge toepassing van deze bepalingen in de context van de c-grond lijkt weliswaar niet uitgesloten (alinea 2.42), maar is uiteraard minder voor de hand liggend als de f-grond voor toepassing in aanmerking komt.

Een andere praktische complicatie die bij toepassing van de c-grond rijst, is dat zoals gezegd enkel de kredietaanbieders daarvan kunnen profiteren, en niet het BKR, omdat de zorgplicht ter voorkoming van overkreditering enkel op de kredietaanbieders rust. Hiervoor bleek al dat zowel het BKR als de kredietaanbieders verwerkingsverantwoordelijken in de zin van de AVG zijn. Ingevolge art. 26 lid 3 AVG kan de rechthebbende zijn rechten uit hoofde van de verordening met betrekking tot en jegens ieder van de verwerkingsverantwoordelijken uitoefenen. Gezien deze ‘hoofdelijke aansprakelijkheid’ van het BKR en de kredietaanbieders, lijkt de toepassing van verschillende verwerkingsgrondslagen op elk van beiden zowel systematisch als praktisch ongelukkig.

Bij dit alles merk ik nog op dat de f-grond in art. 3 lid 4 van het CKI-reglement uitdrukkelijk is aangewezen als de toepasselijke verwerkingsgrondslag en dat het BKR richtlijnen heeft uitgevaardigd voor de toepassing daarvan.170. Een en ander wijst erop dat toepassing van de f-grond, die ook onder het regime van de Wbp gemeengoed was en zelfs met zoveel woorden is genoemd in de memorie van toelichting bij de Wbp (alinea 2.76), de praktijk niet voor onoverkomelijke problemen zal stellen. Hieraan doet niet af dat een wettelijke regeling van kredietregistraties, zoals aangekondigd door de wetgever (alinea 2.72), vanuit een oogpunt van praktische hanteerbaarheid uiteraard voordelen kan hebben.

Gelet op het voorgaande kom ik tot de volgende beantwoording van vraag 1. Mijns inziens moet de verwerking van persoonsgegevens door een kredietinstelling, door middel van een registratie in het CKI van het BKR, worden getoetst aan het bepaalde in artikel 6 lid 1, aanhef en onder f, AVG. Het bepaalde in art. 6 lid 1, aanhef en onder c, AVG leent zich mijns inziens bij de huidige stand van de wet- en regelgeving niet voor toepassing op de verwerking van persoonsgegevens in het CKI van het BKR.

De tweede prejudiciële vraag stelt, voortbouwend op vraag 1, ter discussie welke rechtsmiddelen de rechthebbende op grond van de AVG ten dienste staan in geval van kredietregistratie in het CKI van het BKR. Deze vraag luidt als volgt:

Uit mijn beantwoording van de eerste vraag volgt dat het antwoord op de beide subvragen ontkennend luidt. Uitgaande van de f-grond als toepasselijke verwerkingsgrondslag, beschikt de rechthebbende over het recht van bezwaar (art. 21 lid 1 AVG) en het recht van gegevenswissing na bezwaar (art. 17 lid 1 onder c AVG). Bij toepassing van de c-grond staan deze rechtsmiddelen de rechthebbende (althans naar de letter van de AVG) niet ten dienste.

De derde prejudiciële vraag stelt, voortbouwend op vraag 2b, aan de orde binnen welke termijn de rechthebbende een gerechtelijke procedure uit hoofde van bezwaar tegen een gegevensverwerking in het CKI van het BKR kan instellen. Deze vraag luidt als volgt:

Deze vraag is gesteld voor het geval dat het antwoord op vraag 2b bevestigend luidt. Deze vraag veronderstelt, met andere woorden, dat de rechthebbende géén recht van bezwaar toekomt als bedoeld in art. 21 AVG. Uitgaande van de door mij verdedigde toepasselijkheid van de f-grond is die veronderstelling onjuist en behoeft de vraag geen beantwoording. Voor een nadere bespreking van art. 35 UAVG verwijs ik naar alinea 2.38 e.v.