ECLI:NL:PHR:2021:831

• Datum uitspraak: 15 september 2021
• Publicatiedatum: 17 september 2021
• Zaaknummer: 21/00241
• Instantie: Parket bij de Hoge Raad
• Type: Conclusie
• Rechtsgebied: Civiel recht
• Rechters: E.B. Rank-Berenschot
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Juridische beoordeling van BKR-registratie en verwerking van persoonsgegevens onder AVG

In deze zaak zijn prejudiciële vragen aan de Hoge Raad gesteld over de verwerking van persoonsgegevens in het kredietregistratiestelsel van het BKR. De centrale vraag betreft de rechtsgrond van de verwerking: vindt deze plaats ter nakoming van een wettelijke verplichting van kredietaanbieders (art. 6 lid 1 onder c AVG) of ter behartiging van gerechtvaardigde belangen (art. 6 lid 1 onder f AVG)? Daarnaast zijn vragen gesteld over de rechtsgevolgen van de toepasselijke verwerkingsgrond, zoals het recht op gegevenswissing (art. 17 AVG) en het recht van bezwaar (art. 21 AVG). De voorzieningenrechter in de rechtbank Amsterdam heeft op 21 januari 2021 drie prejudiciële vragen aan de Hoge Raad gesteld, waarbij de onduidelijkheid in de rechtspraak over de toepasselijkheid van de verschillende verwerkingsgronden aan de orde is gekomen. De Hoge Raad heeft de vragen in behandeling genomen, waarbij de rol van de Autoriteit Persoonsgegevens en de wettelijke verplichtingen van kredietaanbieders in het kader van de AVG zijn besproken. De conclusie van de Procureur-Generaal is dat de verwerking van persoonsgegevens door kredietinstellingen in het CKI van het BKR moet worden getoetst aan art. 6 lid 1 onder f AVG, en dat de c-grond niet van toepassing is. Dit heeft implicaties voor de rechten van betrokkenen, zoals het recht op bezwaar en gegevenswissing, die enkel van toepassing zijn bij verwerking op basis van de f-grond.

Conclusie

PROCUREUR-GENERAAL

BIJ DE

HOGE RAAD DER NEDERLANDEN

Nummer 21/00241

Zitting 15 september 2021

CONCLUSIE

E.B. Rank-Berenschot

In de zaak

[verzoeker]

tegen

Hoist Finance AB

In deze zaak zijn prejudiciële vragen aan de Hoge Raad gesteld over de verwerking van persoonsgegevens in het kredietregistratiestelsel van het BKR. De voornaamste vraag betreft de rechtsgrond van de verwerking: de vraag of deze plaatsvindt ter nakoming van een wettelijke verplichting van kredietaanbieders (als bedoeld in art. 6 lid 1 onder c AVG) dan wel ter behartiging van gerechtvaardigde belangen (als bedoeld in art. 6 lid 1 onder f AVG). In het verlengde hiervan zijn vragen gesteld over de rechtsgevolgen van de toepasselijke verwerkingsgrond: de vraag of kredietnemers aanspraak hebben op gegevenswissing (art. 17 AVG), of zij bezwaar kunnen maken tegen de verwerking (art. 21 AVG) en binnen welke termijn zij een procedure tegen de kredietaanbieder moeten instellen (art. 35 lid 2 UAVG).

1. Feiten en procesverloop

1.1

De voorzieningenrechter in de rechtbank Amsterdam is uitgegaan van de volgende feiten: ^[1]

(i) Eiser heeft een krediet afgesloten bij (een rechtsvoorganger van) gedaagde (hierna:
Hoist ). Vanwege een daarop ontstane betalingsachterstand heeft Hoist het krediet op 5 juli 2006 opgeëist. ^[2]

(ii) De Stichting Bureau Krediet Registratie (hierna:
het BKR ^[3] ) beheert het Centraal Krediet Informatiesysteem (hierna:
het CKI ), een systeem waarin betalingsachterstanden of andere onregelmatigheden die ontstaan tijdens de looptijd van een kredietovereenkomst met bijzonderheidscoderingen worden vermeld.

(iii) Op 8 mei 2006 is eiser ten aanzien van het krediet in het CKI onder zijn achternaam genoteerd met de bijzonderheidscode ‘A’. Deze codering betekent dat sprake is van een achterstand.

(iv) Op 28 juni 2006 is aan eisers notering in het CKI een ‘2-codering’ (hierna tezamen met de A-codering: de BKR-registratie) toegevoegd, hetgeen inhoudt dat sprake is van een opgeëiste vordering.

(v) Bij vonnis van 12 december 2006 ^[4] is eiser veroordeeld tot betaling aan (een rechtsvoorganger van) Hoist van € 5.000,-, vermeerderd met de overeengekomen kredietvergoeding over dit bedrag vanaf 7 november 2006 tot de dag van de algehele voldoening.

(vi) Eiser is een betalingsregeling overeengekomen met NDA Incasso, aan wie Hoist de vordering uit handen had gegeven.

(vii) Op 1 juni 2017 is aan de BKR-registratie een 3-codering toegevoegd, wat betekent dat een bedrag groter dan € 250 op het krediet moest worden afgeboekt.

(viii) Bij brief van 27 juni 2017 ^[5] heeft NDA Incasso aan eiser bericht dat de gehele vordering was voldaan.

(ix) Bij e-mail van 17 juli 2020 ^[6] heeft Hoist aan eiser bericht dat zij de 3-codering in het CKI zou laten verwijderen, naar aanleiding van een door eiser daartoe gedaan verzoek.

(x) Op 10 september 2020 heeft eisers advocaat namens eiser opnieuw een verzoek tot verwijdering van de BKR-registratie ingediend bij Hoist. Bij e-mail van 21 september 2020 ^[7] heeft Hoist dit verzoek afgewezen.

1.2

In dit kort geding – ingeleid bij dagvaarding van 16 december 2020 – heeft eiser gevorderd dat Hoist wordt bevolen de BKR-registratie te doen wijzigen, in die zin dat de bijzonderheidscodes 2 en A achter zijn naam worden verwijderd. Eiser heeft hiertoe aangevoerd dat hij als gevolg van de BKR-registratie geen hypotheek kan krijgen voor de woning die hij wil kopen (waarvan de levering op 15 januari 2021 stond gepland), dat hij sinds drie jaar schuldenvrij is en dat hij onevenredig veel nadeel ondervindt van de BKR-registratie.

1.3

Hoist verweert zich met de stelling dat eiser niet-ontvankelijk is in zijn vordering, omdat hij te laat heeft gereageerd op de afwijzende beslissing van 21 september 2020 op zijn (tweede) verwijderingsverzoek. In het verlengde hiervan betwist Hoist het spoedeisend belang van eiser bij zijn vordering. Inhoudelijk betoogt Hoist dat eiser onvoldoende heeft onderbouwd waarom zijn belang bij verwijdering van de BKR-registratie (die normaliter gedurende vijf jaren blijft bestaan) zwaarder moet wegen dan het belang bij behoud van de BKR-registratie. Dit laatste belang vloeit volgens Hoist voort uit het feit dat er bij eiser langere tijd sprake is geweest van een slechte financiële situatie.

1.4

Ter zitting van 24 december 2020 heeft de voorzieningenrechter in de rechtbank Amsterdam voorlopig geoordeeld dat eiser niet-ontvankelijk is en het voornemen uitgesproken om prejudiciële vragen aan de Hoge Raad te stellen over de grondslag van BKR-registraties. Bij e-mails van 29 december 2020, 5 januari 2021 en 11 januari 2021 hebben de advocaten van partijen op dit voornemen gereageerd.

1.5

Bij tussenvonnis van 21 januari 2021 heeft de voorzieningenrechter drie prejudiciële vragen aan de Hoge Raad gesteld (hierna besproken onder 3). ^[8] Aan deze beslissing heeft de voorzieningenrechter, samengevat en voor zover van belang, de volgende overwegingen ten grondslag gelegd.

- Eiser heeft op 10 september 2020 bezwaar gemaakt tegen zijn BKR-registratie. Hoist heeft overeenkomstig art. 12 lid 3 van de Algemene verordening gegevensbescherming (AVG) binnen een maand, namelijk op 21 september 2020, op het bezwaar gereageerd. Ingevolge art. 35 lid 2 van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) moest eiser zich binnen zes weken daarna tot de rechtbank wenden. Dat heeft hij niet gedaan. Daarom is ter zitting voorlopig geoordeeld dat eiser niet-ontvankelijk is in zijn vordering (rov. 4.1).

- Als eiser wel ontvankelijk zou zijn, zou de vordering inhoudelijk moeten worden beoordeeld. Beide partijen gaan ervan uit dat de coderingen 2 en A destijds terecht in het CKI zijn opgenomen. In de rechtspraak is er onduidelijkheid over de vraag of Hoist als deelnemer aan dit stelsel van kredietregistratie heeft voldaan aan een wettelijke plicht als bedoeld in art. 6 lid 1 onder c AVG. De gerechtshoven hebben hierover verschillend geoordeeld (rov. 4.2).

- Als meest recente voorbeelden kunnen worden genoemd de beslissingen van het gerechtshof Den Bosch van 6 augustus 2020, ECLI:NL:GHSHE:2020:2536, het gerechtshof Den Haag van 10 november 2020, ^[9] ECLI:NL:GHDHA:2020:2068 en het gerechtshof Arnhem-Leeuwarden van 17 december 2020, ECLI:NL:GHARL:2020:10564 (rov. 4.3-4.6).

- Het oordeel van het gerechtshof Den Bosch wordt aldus verstaan dat, uitgaande van de toepasselijkheid van art. 6 lid 1 onder c AVG, de verzoeker geen aan de AVG ontleend recht heeft op het maken van bezwaar tegen de registratie. Dat brengt mee dat de in art. 35 lid 2 UAVG neergelegde termijn voor het instellen van een procedure bij de burgerlijke rechter niet van toepassing is. Overschrijding van die termijn leidt dan niet tot niet-ontvankelijkheid (rov. 4.4).

- Als de toepasselijke verwerkingsgrond een ‘wettelijke plicht’ als bedoeld in art. 6 lid 1 onder c AVG zou zijn, rijst de vraag of, als verweer daartegen, het recht om vergeten te worden (art. 17 AVG) kan worden ingeroepen. Is dat niet het geval, dan moet de rechter het
Santander -toetsingscriterium toepassen (HR 9 september 2011, ECLI:NL:HR:2011:BQ8097). ^[10] Betoogd kan worden dat deze toets ongunstiger is voor degene wiens persoonsgegevens zijn verwerkt (rov. 4.7). ^[11]

- De voorzieningenrechter is voorshands van oordeel dat de lijn van het gerechtshof Den Haag moet worden gevolgd. De concrete registratie in het CKI wordt gedaan ter uitvoering van de wettelijke verplichting tot deelneming aan een stelsel van kredietregistratie (art. 4:32 Wft). Deze uitvoering is gegrond op het Algemeen Reglement CKI van het BKR. ^[12] Dit reglement kan niet worden beschouwd als een wettelijke regeling als bedoeld in art. 6 lid 1 onder c AVG (rov. 4.8).

- Dit voorlopig oordeel brengt mee dat de BKR-registratie van eiser kan worden getoetst aan art. 6 lid 1 onder f AVG, maar ook dat eiser te laat is met zijn vordering en niet-ontvankelijk moet worden verklaard (rov. 4.9).

- Omdat de gerechtshoven verdeeld zijn, is onzeker of dit voorlopig oordeel juist is. De voorzieningenrechter acht daarom het stellen van prejudiciële vragen aan de Hoge Raad noodzakelijk. Een prejudiciële beslissing is van belang voor de beslechting of beëindiging van talrijke andere soortgelijke geschillen (rov. 4.10).

1.6

De Hoge Raad heeft de vragen in behandeling genomen. Namens Hoist zijn schriftelijke opmerkingen ingediend door mr. Van Wijk als cassatieadvocaat. Eiser heeft afgezien van de indiening van schriftelijke opmerkingen. ^[13]

2. Inleidende beschouwingen

Plan van behandeling

2.1

Het recht op bescherming van persoonsgegevens (ook wel ‘informationele privacy’ genoemd) wordt als grondrecht beschermd door art. 8 EVRM, art. 16 VWEU en art. 8 van het Handvest van de grondrechten van de Europese Unie (hierna:
Handvest ). In EU-verband is de bescherming van persoonsgegevens nader uitgewerkt in de Algemene verordening gegevensbescherming (hierna:
AVG ), ^[14] die op 25 mei 2018 de Richtlijn bescherming persoonsgegevens ^[15] (hierna:
de Richtlijn ) heeft vervangen. Deze richtlijn was in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens (hierna:
Wbp ). ^[16]

2.2

Ik bespreek hierna het grondrechtelijke kader (alinea 2.3 e.v.), gevolgd door een behandeling van de relevante AVG-bepalingen, waar nodig in samenhang met het oude recht (alinea 2.7 e.v.). Aansluitend behandel ik de wet- en regelgeving op het gebied van het financieel toezicht die deelname aan en raadpleging van een stelsel van kredietregistratie voorschrijft (alinea 2.43 e.v.). Ten slotte bespreek ik hoe deze wet- en regelgeving zich verhoudt tot de bescherming van persoonsgegevens onder de AVG (alinea 2.76 e.v.).

Bescherming van persoonsgegevens als grondrecht

2.3

Hoewel het EVRM niet voorziet in een recht op bescherming van persoonsgegevens (‘
data protection ’) als zodanig, acht het EHRM die bescherming wel van fundamenteel belang voor de verwezenlijking van het door art. 8 EVRM beschermde recht op eerbiediging van het privé-, familie- en gezinsleven. Art. 8 lid 2 EVRM laat een inmenging in dit recht slechts toe, voor zover deze (i) voorzien bij wet (‘
in accordance with the law ’) en (ii) noodzakelijk in een democratische samenleving (‘
necessary in a democratic society ’) is ter bescherming van (iii) één of meer van de in het artikellid genoemde rechtsbelangen (‘
legitimate aims ’). De eerste beperkingsvoorwaarde (‘
lawfulness ’) wordt door het EHRM in materiële zin opgevat: de inmenging behoeft niet in een wet in formele zin te zijn neergelegd, maar kan voortvloeien uit elk algemeen verbindend voorschrift, mits dit voorschrift voldoende toegankelijk en voorzienbaar is (‘
accessibility and foreseeability ’). De tweede beperkingsvoorwaarde (‘
necessity ’) omvat onder meer een proportionaliteitstoets. Het EHRM onderzoekt of de inmenging voorziet in een dringende maatschappelijke behoefte (‘
a pressing social need ’) en proportioneel is aan de nagestreefde doeleinden (‘
proportionate to the legitimate aims pursued ’). In dat kader kan van belang zijn of het beoogde doel ook met minder verstrekkende middelen kan worden bereikt. Dit laatste wordt ook wel de subsidiariteitstoets genoemd (ter onderscheiding van de proportionaliteitstoets waarvan deze toets onderdeel uitmaakt). ^[17]

2.4

Art. 16 lid 1 VWEU en art. 8 lid 1 Handvest bepalen dat eenieder recht heeft op bescherming van zijn persoonsgegevens. Art. 8 lid 2 Handvest bepaalt dat persoonsgegevens eerlijk moeten worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van ‘een andere gerechtvaardigde grondslag waarin de wet voorziet’. ^[18] De considerans van de AVG bevestigt dat de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens ‘een grondrecht’ is. ^[19]

2.5

In de
Santander -beschikking uit 2011 heeft de Hoge Raad geoordeeld dat, gelet op art. 8 EVRM en de totstandkomingsgeschiedenis van de Wbp, ^[20] elke verwerking van persoonsgegevens moet voldoen aan de beginselen van proportionaliteit en subsidiariteit. Ook als de gegevensverwerking in beginsel is toegestaan op een van de in art. 8 Wbp limitatief opgesomde verwerkingsgronden (vergelijk thans art. 6 lid 1 AVG), blijft de eis gelden dat de verwerking in het concrete geval noodzakelijk moet zijn met het oog op het omschreven doel van de verwerking. De aanwezigheid van een wettelijke rechtvaardigingsgrond maakt derhalve een belangenafweging aan de hand van de beginselen van proportionaliteit en subsidiariteit niet overbodig, aldus de Hoge Raad. ^[21] Het ging in die zaak, evenals in de nu voorliggende zaak, om een kredietregistratie in het CKI van het BKR, waartegen de kredietnemer verzet had aangetekend op grond van art. 40 Wbp (vergelijk thans art. 21 AVG). Het hof had de vraag of de kredietregistratie berustte op de c-grond van art. 8 Wbp (nakoming van een wettelijke verplichting) dan wel op de f-grond (behartiging van een gerechtvaardigd belang) onbeantwoord gelaten, daartoe overwegende dat ongeacht de toepasselijke verwerkingsgrondslag een belangenafweging moest plaatsvinden. De Hoge Raad liet dat oordeel in stand en verwierp de daartegen gerichte klacht dat bij de toepassing van de c-grond geen belangenafweging vereist zou zijn. ^[22]

2.6

De grondrechtelijke status van het recht op bescherming van persoonsgegevens brengt dus mee dat elke gegevensverwerking aan de basisvereisten van art. 8 EVRM en art. 8 Handvest moet voldoen, waaronder de beginselen van proportionaliteit en subsidiariteit. Dit maakt een toetsing aan de AVG, waarin die basisvereisten zijn uitgewerkt, niet overbodig. Eerst zal moeten worden bezien of en in hoeverre de AVG een gegevensverwerking toestaat. Een aanvullende toetsing aan art. 8 EVRM en art. 8 Handvest kan als vangnet fungeren voor gevallen die de AVG-toets doorstaan, maar biedt de rechthebbende niet zonder meer een gelijkwaardig beschermingsniveau. ^[23]

Bescherming van persoonsgegevens onder de AVG en de UAVG

2.7

De AVG is ingevoerd om de Europese gegevensbeschermingsregels verder te harmoniseren dan de Richtlijn bescherming persoonsgegevens al deed. ^[24] De materiële normen voor de verwerking van persoonsgegevens zijn in grote lijnen gelijk gebleven, maar de rechtspositie van de rechthebbenden is op verschillende punten versterkt, bijvoorbeeld door de invoering van het nog te bespreken recht op vergetelheid (art. 17 AVG). ^[25] Wetssystematisch is een belangrijk verschil dat de AVG, als verordening, verbindend is in al haar onderdelen en rechtstreeks toepasselijk in elke lidstaat (art. 288 VWEU). Omzetting in nationale wetgeving is dus niet vereist, en in beginsel zelfs niet toegestaan. Niettemin laat de AVG op verschillende punten ruimte voor nadere uitwerking in nationale wetgeving. Zo bepaalt art. 6 lid 2 AVG, toegespitst op de verwerkingsgronden van art. 6 lid 1 onder c en e AVG (wettelijke verplichting en taak van algemeen belang), dat de lidstaten ‘specifiekere bepalingen’ kunnen handhaven of invoeren ter aanpassing van de manier waarop de AVG-regels met betrekking tot deze verwerkingsgronden worden toegepast. Hiertoe kunnen de lidstaten een ‘nadere omschrijving’ geven van ‘specifieke voorschriften’ voor de verwerking en ‘andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen’. ^[26] Tegen deze achtergrond wordt de AVG ook wel een ‘
directive in disguise ’ genoemd. ^[27]

2.8

Het vereiste van rechtmatigheid en de beginselen van proportionaliteit en subsidiariteit, zoals neergelegd in art. 8 lid 2 EVRM en art. 8 lid 2 Handvest, ^[28] zijn nader uitgewerkt in art. 5 AVG, houdende ‘Beginselen inzake verwerking van persoonsgegevens’. Het gaat, voor zover hier van belang, om de beginselen van ‘rechtmatigheid, behoorlijkheid en transparantie’ (lid 1 onder a), ‘doelbinding’ (lid 1 onder b) en ‘minimale gegevensverwerking’ (lid 1 onder c). Laatstgenoemd beginsel houdt in dat de verwerking van persoonsgegevens beperkt moet blijven tot ‘wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt’. Meer concreet betekent dit bijvoorbeeld dat de opslagperiode van persoonsgegevens tot een ‘strikt minimum’ moet worden beperkt. ^[29]

2.9

Het vereiste van toestemming of een andere gerechtvaardigde grondslag, zoals neergelegd in art. 8 lid 2 Handvest, is nader uitgewerkt in art. 6 AVG, over ‘Rechtmatigheid van de verwerking’. In art. 6 lid 1 AVG zijn zes limitatieve verwerkingsgronden opgenomen, die overeenstemmen met de verwerkingsgronden van art. 7 van de Richtlijn en art. 8 Wbp. Deze verwerkingsgronden en hun onderlinge verhouding bespreek ik hierna in alinea 2.14 e.v.

2.1

De Uitvoeringswet AVG (UAVG), die tegelijk met de AVG op 25 mei 2018 is ingevoerd, ^[30] voorziet in regels ter uitvoering van het in de AVG bepaalde, bijvoorbeeld met betrekking tot de publiekrechtelijke handhaving van AVG-regels en de civielrechtelijke rechtsbescherming van de rechthebbende. De UAVG bouwt voort op het normenkader van de Richtlijn en de Wbp. ^[31] Voor deze zaak is art. 35 UAVG van belang, dat – voortbouwend op het in art. 79 AVG neergelegde recht op een ‘doeltreffende voorziening in rechte’ – voorziet in een civielrechtelijke rechtsingang met het oog op onder meer het doen verwijderen of het doen staken van de verwerking van persoonsgegevens (alinea 2.39 e.v.).

De begrippen ‘verwerking’, ‘verwerkingsverantwoordelijke’ en ‘verwerker’ (art. 4 AVG)

2.11

De voor de toepassing van de AVG relevante begrippen zijn gedefinieerd in art. 4 AVG. Onder
persoonsgegevens wordt verstaan ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Deze persoon, de rechthebbende, wordt in de AVG als
betrokkene aangemerkt (art. 4 onder 1 AVG). De
verwerking van persoonsgegevens is ruim omschreven als ‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés’. Daaronder wordt behalve het ‘opslaan’ en ‘raadplegen’ van persoonsgegevens bijvoorbeeld ook het ‘wissen of vernietigen’ van persoonsgegevens verstaan (art. 4 onder 2 AVG).

2.12

De materiële normen van de AVG zijn primair gericht tot de
verwerkingsverantwoordelijke (‘
controller ’). Dat is de natuurlijke persoon of rechtspersoon die, alleen of samen met anderen, ‘het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’ (art. 4 onder 7 AVG). In de literatuur wordt de verwerkingsverantwoordelijke omschreven als degene onder wiens verantwoordelijkheid de gegevensverwerking plaatsvindt. ^[32] Indien twee of meer personen gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij
gezamenlijke verwerkingsverantwoordelijken (art. 26 lid 1 AVG). De betrokkene kan zijn AVG-rechten dan met betrekking tot en jegens ieder van hen uitoefenen (art. 26 lid 3 AVG).

2.13

Worden persoonsgegevens verwerkt door een derde die optreedt namens de verwerkingsverantwoordelijke, dan wordt die derde als
verwerker (‘
processor ’) aangeduid (art. 4 onder 8 AVG). ^[33] De verwerking van persoonsgegevens door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling die de verwerker ten opzichte van de verwerkingsverantwoordelijke bindt (art. 28 lid 3 AVG). De verwerker bevindt zich buiten de organisatie van de verwerkingsverantwoordelijke en handelt overeenkomstig diens instructies. Een voorbeeld is het salarisadministratiebedrijf, dat in opdracht van werkgevers persoonsgegevens van werknemers verwerkt. ^[34]

Verwerkingsgronden (art. 6 AVG)

2.14

Art. 6 lid 1 AVG behelst zoals gezegd een limitatieve opsomming van de gronden waarop persoonsgegevens rechtmatig kunnen worden verwerkt. Het artikellid luidt als volgt:

‘De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.’

2.15

Het limitatieve karakter van de opsomming blijkt uit het woord ‘alleen’. ^[35] De woorden ‘voor zover’ bevestigen het beginsel van minimale gegevensverwerking (art. 5 lid 1 onder c AVG): indien slechts een gedeelte van de verwerking of slechts een gedeelte van de verwerkte gegevens onder het bereik van de toepasselijke verwerkingsgrond(en) valt, is de verwerking slechts in zoverre rechtmatig, en voor het overige verboden. De woorden ‘ten minste’ maken duidelijk dat één en dezelfde verwerking onder het bereik van meer dan één verwerkingsgrond kan vallen. De verwerkingsgronden kunnen elkaar in die zin overlappen, maar de toepasselijkheid van één verwerkingsgrond volstaat voor het aannemen van rechtmatigheid. ^[36]

2.16

De verwerkingsgronden worden in de literatuur aangemerkt als equivalent, oftewel als gelijkwaardige alternatieven. ^[37] Hierbij is van belang dat het
toepassingsbereik en de
rechtsgevolgen van de verwerkingsgronden verschillen. Een toestemming (de a-grond) kan bijvoorbeeld te allen tijde worden ingetrokken (art. 7 lid 3 AVG), terwijl tegen een gegevensverwerking uit hoofde van een taak van algemeen belang (de e-grond) of de behartiging van gerechtvaardigde belangen (de f-grond) te allen tijde bezwaar kan worden gemaakt (art. 21 lid 1 AVG). Deze voorbehouden gelden niet als de gegevensverwerking berust op een wettelijke verplichting (de c-grond), maar daarvoor is een basis in het Unierecht of het nationale recht vereist, die aan bepaalde randvoorwaarden moet voldoen (art. 6 lid 3 AVG, hierna besproken in alinea 2.20). Gezien deze verschillen is het van belang om de verwerkingsgronden van elkaar te onderscheiden, ook al geldt uiteindelijk dat elke gegevensverwerking moet voldoen aan de eerder besproken basisvereisten van art. 8 EVRM en art. 8 Handvest. ^[38]

2.17

De verwerkingsgronden b tot en met f hebben gemeen dat zij de gegevensverwerking slechts toestaan indien en voor zover die ‘noodzakelijk’ is met het oog op de genoemde doeleinden. Dit vereiste van noodzakelijkheid correspondeert met de eerder besproken beginselen van proportionaliteit en subsidiariteit. ^[39] Uit de rechtspraak van het HvJEU blijkt dat het begrip ‘noodzakelijk’ (zoals eertijds gebruikt in art. 7 onder e van de Richtlijn) in deze context een autonome Unierechtelijke betekenis heeft. ^[40] De Nederlandse wetgever heeft bij de totstandkoming van de UAVG het begrip noodzakelijkheid, toegespitst op de c-grond, aldus nader omschreven dat naleving van de wettelijke verplichting zonder de gegevensverwerking ‘redelijkerwijs niet goed mogelijk’ moet zijn. ^[41] Diezelfde terminologie werd gebruikt in de memorie van toelichting bij de Wbp, met de toevoeging dat er ‘een evident verband [moet] bestaan tussen de gegevensverwerking en de (uitvoering van de) wettelijke verplichting’. ^[42] Deze omschrijvingen kunnen behulpzaam zijn bij de feitelijke invulling van het noodzakelijkheidsvereiste. De juridische inkadering ervan is, gelet op het voorgaande, voorbehouden aan het HvJEU.

Nakoming van een wettelijke verplichting (art. 6 lid 1 onder c AVG)

2.18

In deze zaak speelt de verwerkingsgrond van art. 6 lid 1 onder c AVG een centrale rol. Deze betreft gevallen waarin de gegevensverwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. In de literatuur wordt aangenomen dat deze verwerkingsgrond een restrictief karakter heeft. Niet voldoende is dat de verwerkingsverantwoordelijke wettelijk
bevoegd is om persoonsgegevens te verwerken of dat de gegevensverwerking
nuttig is voor de naleving van een wettelijke verplichting. De gegevensverwerking moet daadwerkelijk
noodzakelijk zijn – in de zojuist besproken zin – om te kunnen voldoen aan een op de verwerkingsverantwoordelijke rustende wettelijke verplichting. ^[43]

2.19

Het restrictieve karakter van de c-grond is onder het regime van art. 7 sub c van de Richtlijn benadrukt door de ‘Artikel 29-Groep’, een werkgroep bestaande uit vertegenwoordigers van de nationale toezichthoudende autoriteiten, wier aanbevelingen niet bindend maar wel gezaghebbend zijn. ^[44] In haar ‘Legitimate interest opinion’ uit 2014 schreef deze werkgroep dat de c-grond ‘strikt afgebakend’ is en alleen van toepassing is wanneer de verplichting ‘bij wet wordt opgelegd (en niet, bijvoorbeeld, in een contractuele regeling)’. In de opinie worden als voorbeelden van gegevensverwerkingen op de c-grond genoemd: de wettelijke verplichting van werkgevers om salarisgegevens van hun werknemers door te geven aan de Belastingdienst, ^[45] de wettelijke verplichting van financiële instellingen om verdachte transacties te melden aan autoriteiten die belast zijn met de handhaving van wetgeving ter voorkoming van witwassen en de gegevensverwerking door lokale overheden met het oog op de afwikkeling van parkeerboetes. ^[46] Zoals uit deze voorbeelden blijkt, kan de c-grond zowel door private partijen als door overheidsinstanties worden ingeroepen. ^[47]

2.2

Een belangrijk element van de c-grond is, naast de al besproken noodzakelijkheidseis, het vereiste van een
wettelijke grondslag van de verplichting (‘
legal obligation ’). Dit vereiste is uitgewerkt in art. 6 lid 3 AVG, dat bepaalt dat de ‘rechtsgrond’ van de verplichting (en van de taak van algemeen belang als bedoeld in lid 1 onder e) moet worden vastgesteld bij Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is. Dit recht moet het ‘doel van de verwerking’ vaststellen en kán daarnaast ‘specifieke bepalingen’ bevatten met betrekking tot de toepassing van de AVG-regels, bijvoorbeeld ‘algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke’. Bij dit alles stelt het derde lid als randvoorwaarden dat de rechtsgrond moet beantwoorden aan een ‘doelstelling van algemeen belang’ en ‘evenredig’ moet zijn met het nagestreefde gerechtvaardigde doel. De wettelijke verplichting moet dus, evenals de daarop gebaseerde gegevensverwerking, aan het noodzakelijkheidsvereiste voldoen (inclusief de daaruit voortvloeiende beginselen van proportionaliteit en subsidiariteit). ^[48]

2.21

De verordening eist niet dat de wettelijke verplichting in een wet in formele zin is neergelegd, zo expliciteert de considerans. ^[49] Dit betekent dat in beginsel
ieder algemeen verbindend voorschrift kan fungeren als grondslag van een wettelijke verplichting in de zin van de c-grond. ^[50] Volgens de memorie van toelichting bij de UAVG kan in dit verband worden aangesloten bij de algemene leerstukken van het bestuurlijk organisatierecht, zoals attributie, mandaat en delegatie. ^[51]

2.22

Niet geheel duidelijk is of een wettelijke verplichting in de zin van de c-grond haar rechtsgrond kan vinden in een algemeen geformuleerde wetsbepaling die niet specifiek op gegevensverwerking is toegespitst (zoals in dit geval een zorgplicht in de Wet op het financieel toezicht). ^[52] Enerzijds vermeldt de considerans, conform de in alinea 2.3 besproken rechtspraak van het EHRM, dat de rechtsgrond ‘duidelijk en nauwkeurig’ moet zijn en de toepassing ervan ‘voorspelbaar’ voor degenen op wie deze van toepassing is. ^[53] Anderzijds vermeldt de considerans dat de AVG níet voorschrijft ‘dat voor elke afzonderlijke verwerking specifieke wetgeving vereist is’: er kan worden volstaan met ‘wetgeving die als basis fungeert voor verscheidene verwerkingen’. ^[54] Dit sluit aan bij art. 6 lid 3 AVG, dat zoals gezegd slechts vereist dat de rechtsgrond het ‘doel van de verwerking’ vaststelt.

2.23

De memorie van toelichting bij de UAVG is op dit punt ook niet eenduidig. Enerzijds vermeldt zij dat de rechtsgrond ‘niet noodzakelijkerwijs [behoeft] te bestaan uit een expliciete verplichting om (bepaalde) persoonsgegevens te verwerken’. De verwerking kan ook een basis vinden in ‘een ruimer geformuleerde zorgplicht of wettelijke verplichting’, met dien verstande dat de verwerkingsverantwoordelijke dan een ‘grotere eigen verantwoordelijkheid’ heeft bij de beoordeling van de noodzakelijkheid van de verwerking. ^[55] Anderzijds vermeldt de memorie van toelichting dat met de wettelijke grondslag voor een publieke taak of verplichting níet steeds ook de wettelijke grondslag voor de
gegevensverwerking is gegeven. Uit art. 8 EVRM vloeit voort dat een ‘voldoende precieze wettelijke grondslag’ is vereist. De wetgever acht het ‘niet toelaatbaar’ dat een verplichting tot gegevensverstrekking ‘uitsluitend wordt afgeleid uit de totstandkomingsgeschiedenis van of de samenhang tussen wettelijke bepalingen of wordt verondersteld omwille van de effectiviteit van een wettelijke regeling’. ^[56]

2.24

Een aannemelijke lezing lijkt, mede gezien art. 8 EVRM, dat de wettelijke verplichting weliswaar algemeen geformuleerd mag zijn, maar dat zij ten aanzien van de voorgeschreven gegevensverwerking wel moet voldoen aan de eisen van duidelijkheid, nauwkeurigheid en voorspelbaarheid. Deze lezing wordt bevestigd door de Artikel 29-Groep in haar eerder genoemde ‘Legitimate interest opinion’. Volgens deze opinie mag de verwerkingsverantwoordelijke ‘geen keuze’ hebben om wel of niet te voldoen aan de verplichting en moet de verplichting ook ‘voldoende duidelijk zijn wat de vereiste verwerking van persoonsgegevens betreft’. De c-grond is dus van toepassing op basis van ‘wetsbepalingen die expliciet verwijzen naar de aard en het voorwerp van de verwerking’. De verwerkingsverantwoordelijke mag ‘geen ongepaste beoordelingsmarge hebben wat betreft de wijze waarop hij aan de wettelijke verplichting voldoet’. In voorkomende gevallen kan de wetgever volstaan met het vaststellen van een ‘algemene doelstelling’, terwijl ‘meer specifieke verplichtingen op een ander niveau worden vastgesteld, bijvoorbeeld in secundaire wetgeving of in een bindend besluit van een overheidsinstantie in een concreet geval’. Zulke specifieke verplichtingen kunnen vallen onder de c-grond, ‘mits de aard en het voorwerp van de verwerking goed is gedefinieerd en er een adequate rechtsbasis voor bestaat’. Indien een regelgevende instantie ‘slechts algemene beleidsrichtlijnen en voorwaarden vaststelt waaronder zij kan overgaan tot het gebruik van [haar] handhavingsbevoegdheden’, moet de verwerking worden beoordeeld op basis van art. 7 onder f van de Richtlijn, en kan zij pas gerechtvaardigd worden geacht na een ‘aanvullende belangenafweging’. De Artikel 29-Groep noemt in dit verband als voorbeeld ‘regelgevende richtsnoeren voor financiële instellingen over bepaalde due-diligencenormen’. ^[57]

2.25

Ook in de literatuur wordt aangenomen dat een algemene wettelijke verplichting niet in alle gevallen kan dienen als rechtsgrond voor gegevensverwerking. ^[58] Toegespitst op de wettelijk gereguleerde kredietregistratie door banken ten behoeve van een kredietwaardigheidstoetsing wordt betoogd dat het hier gaat om ‘the exercise of a legal right to which the controller is entitled’ en dat ‘there is no way data processing can be seen as an obligation in these contexts’. ^[59] Dit betoog is niet specifiek toegespitst op de Nederlandse wet- en regelgeving. Uiteindelijk zal door uitleg van die wet- en regelgeving moeten worden vastgesteld of sprake is van een wettelijke verplichting in de zin van art. 6 lid 1 onder c AVG, die voldoet aan de voornoemde eisen van duidelijkheid, nauwkeurigheid en voorspelbaarheid.

2.26

Volledigheidshalve merk ik nog op dat voor toepassing van de c-grond is vereist dat de wettelijke verplichting
op de verwerkingsverantwoordelijke rust (art. 6 lid 1 onder c AVG). Rust de verplichting op iemand anders, bijvoorbeeld de verwerker, dan moet de gegevensverwerking op een andere grondslag worden gebaseerd, zoals de nu te bespreken f-grond. ^[60]

Behartiging van gerechtvaardigde belangen (art. 6 lid 1 onder f AVG)

2.27

Art. 6 lid 1 onder f AVG betreft gevallen waarin de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde. Kenmerkend voor deze verwerkingsgrond is het open karakter ervan. Toepassing van de f-grond noopt de verwerkingsverantwoordelijke (en in rechtsgeschillen de rechter) tot een
belangenafweging . Dit blijkt uit het vervolg van onderdeel f (na ‘behalve’), waar is bepaald dat de f-grond toepassing mist indien de belangen of de grondrechten en de fundamentele vrijheden van de rechthebbende ‘zwaarder wegen’ dan de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of de derde in kwestie. ^[61] Bij deze belangenafweging speelt de ‘redelijke privacyverwachting’ van de rechthebbende een centrale rol. Getoetst moet worden of de rechthebbende op het tijdstip en in het kader van de verzameling van de persoonsgegevens ‘redelijkerwijs mag verwachten dat verwerking met dat doel kan plaatsvinden’. ^[62] De uitkomst van deze toetsing is afhankelijk van de omstandigheden van het geval. ^[63]

2.28

Gerechtvaardigde belangen in de zin van de f-grond kunnen blijkens de considerans aanwezig zijn wanneer sprake is van ‘een relevante en passende verhouding tussen de betrokkene en de verwerkingsverantwoordelijke, in situaties waarin de betrokkene een klant is of in dienst is van de verwerkingsverantwoordelijke’. Een veel genoemd voorbeeld is het geval waarin een bedrijf persoonsgegevens van klanten verwerkt ten behoeve van ‘direct marketing’. ^[64] De Artikel 29-Groep noemt ook de ‘Verificatie van de gegevens van een klant vóór de opening van een bankrekening’ als voorbeeld van gegevensverwerking op de f-grond, overigens met de kanttekening dat ook de c-grond van toepassing kan zijn ‘voor zover de toepasselijke wetgeving de genomen maatregelen specifiek vereist’. ^[65] ‘Kredietcontroles voorafgaand aan de verstrekking van een lening’ kunnen volgens de Artikel 29-Groep op de f-grond berusten, maar in geval van ‘een wettelijke verplichting van banken om een officiële lijst van geregistreerde schuldenaars te raadplegen’ komt ook de c-grond voor toepassing in aanmerking. ^[66] De Autoriteit Persoonsgegevens noemt het belang om ‘zorgplichten na te komen voor werknemers en/of klanten’ als voorbeeld van een gerechtvaardigd belang in de zin van de f-grond. ^[67]

2.29

De ingevolge art. 6 lid 1 onder f AVG af te wegen belangen zijn geen gelijke grootheden. Tegenover de ‘gerechtvaardigde belangen’ van de verwerkingsverantwoordelijke staan ‘de belangen of de grondrechten en de fundamentele vrijheden’ van de rechthebbende. In deze formulering valt op dat de belangen van de rechthebbende niet van de kwalificatie ‘gerechtvaardigde’ zijn voorzien, terwijl behalve die belangen ook ‘de grondrechten en de fundamentele vrijheden’ van de rechthebbende gewicht in de schaal leggen. Tegen deze achtergrond, en mede gelet op het voorschrift dat de gerechtvaardigde belangen van de verwerkingsverantwoordelijke ‘zwaarder’ moeten wegen, wordt aangenomen dat de f-grond een
ruime bescherming biedt aan de rechthebbende ^[68] en een
uitgebreide motiveringsplicht oplegt aan de verwerkingsverantwoordelijke. ^[69]

2.3

De f-grond wordt, vanwege zijn open karakter, ook wel als ‘restgrond’ betiteld. ^[70] De gedachte is dat een casuïstische belangenafweging als voorgeschreven in art. 6 lid 1 onder f AVG achterwege kan blijven als een andere, meer categorisch omschreven verwerkingsgrond (bijvoorbeeld de c-grond) voor toepassing in aanmerking komt. ^[71] Volgens de Artikel 29-Groep is bij de f-grond een ‘
specifieke test nodig voor gevallen die niet passen in de vooraf gedefinieerde scenario's onder a) tot en met e)’. Zo bezien bevat de f-grond ‘aanvullende waarborgen’. Daarom mag de f-grond niet worden beschouwd als ‘de zwakste schakel’ of een ‘open deur om alle activiteiten op het gebied van gegevensverwerking die niet onder een van de andere rechtsgronden vallen te rechtvaardigen’. De f-grond is, aldus de Artikel 29-Groep, geen ‘voorkeursoptie’, maar ook geen ‘laatste redmiddel’. ^[72] Een en ander bevestigt het equivalente karakter van de verwerkingsgronden (alinea 2.16).

2.31

Een belangrijke beperking van het toepassingsbereik van de f-grond schuilt in de tweede alinea van art. 6 lid 1 AVG. Daarin is bepaald dat de f-grond niet geldt voor de verwerking van persoonsgegevens door
overheidsinstanties . De achterliggende gedachte is, blijkens de considerans, dat het aan de wetgever is om een rechtsgrond te creëren voor dit type gegevensverwerking. ^[73] Door deze uitsluiting is de f-grond uitsluitend van toepassing op gegevensverwerking in de private sector. ^[74]

Recht van bezwaar en gegevenswissing (art. 21 en 17 AVG)

2.32

De verwerkingsgronden van art. 6 lid 1 AVG verschillen niet alleen in materieel opzicht, maar ook in procedurele zin, met betrekking tot de
rechtsmiddelen die de rechthebbende ten dienste staan. Voor deze zaak zijn het recht van bezwaar (art. 21 lid 1 AVG) en het recht van gegevenswissing na bezwaar (art. 17 lid 1 onder c AVG) van belang.

2.33

Art. 21 lid 1 AVG bepaalt, voor zover hier van belang, dat de rechthebbende te allen tijde het recht heeft om bezwaar te maken tegen een gegevensverwerking op de e- of de f-grond, vanwege redenen die verband houden met zijn ‘specifieke situatie’. Maakt de rechthebbende bezwaar, dan staakt de verwerkingsverantwoordelijke de gegevensverwerking, tenzij hij ‘dwingende gerechtvaardigde gronden’ voor de verwerking aanvoert die ‘zwaarder wegen’ dan de belangen, rechten en vrijheden van de rechthebbende. ^[75] Een bezwaar noopt de verwerkingsverantwoordelijke dus (opnieuw) tot een
belangenafweging . In vergelijking met de initiële belangenafweging die bij de toepassing van de f-grond moet plaatsvinden (alinea 2.27) is deze hernieuwde belangenafweging specifieker van aard en bovendien meer toegespitst op de actuele omstandigheden waarin de rechthebbende verkeert. De gedachte is dat die eerdere belangenafweging, hoe zorgvuldig ook, een enigszins algemeen karakter heeft, zodat niet valt uit te sluiten dat de belangenafweging – al dan niet vanwege nieuwe feitelijke ontwikkelingen – in het individuele geval anders moet uitvallen. ^[76] In de lagere rechtspraak wordt voor deze hernieuwde belangenafweging aansluiting gezocht bij de in alinea 2.5 besproken
Santander -beschikking en de daarin genoemde beginselen van proportionaliteit en subsidiariteit. ^[77]

2.34

De belangenafweging vertrekt niet vanuit een neutraal uitgangspunt. Ingevolge art. 21 lid 1 AVG moet een gegevensverwerking op de e- of f-grond waartegen bezwaar wordt gemaakt in beginsel gestaakt worden,
tenzij dwingende gerechtvaardigde gronden aan de zijde van de verwerkingsverantwoordelijke daartegen pleiten. Volgens de considerans betekent dit dat de verwerkingsverantwoordelijke moet ‘aantonen’ dat zijn dwingende gerechtvaardigde belangen zwaarder wegen dan de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene. ^[78] In de
Santander -beschikking is de Hoge Raad (in de context van de door art. 8 lid 2 EVRM voorgeschreven belangenafweging) omwille van de ‘praktische hanteerbaarheid’ van de Wbp uitgegaan van een verdeling van stelplicht en bewijslast die inhoudt dat het in eerste instantie aan de
rechthebbende is om ‘nadere gegevens’ te verschaffen die tot een hernieuwde belangenafweging kunnen leiden. ^[79] Mijns inziens heeft hetzelfde te gelden in de context van art. 21 lid 1 AVG, nu die bepaling spreekt over een recht van de betrokkene om ‘vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken’ tegen de gegevensverwerking. Hierin ligt besloten dat de betrokkene
specifieke redenen voor zijn bezwaar zal moeten aanvoeren (en zo nodig aantonen), waarna het aan de verwerkingsverantwoordelijke is om aan te voeren (en zo nodig aan te tonen) dat dwingende gerechtvaardigde gronden aan zijn zijde voor afwijzing van het bezwaar pleiten. ^[80]

2.35

Maakt de rechthebbende overeenkomstig art. 21 lid 1 AVG bezwaar tegen de verwerking, dan heeft hij ingevolge art. 17 lid 1, aanhef en onder c, AVG tevens recht op wissing van de hem betreffende persoonsgegevens (ook wel het ‘recht op vergetelheid’ genoemd). ^[81] Het recht op gegevenswissing na bezwaar geldt alleen als er ‘geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking’ zijn (een variant van de zojuist besproken tenzij-formule van art. 21 lid 1 AVG). ^[82]

2.36

Het recht op bezwaar bestaat ingevolge art. 21 lid 1 AVG alleen bij een verwerking op de e- of f-grond. ^[83] Een verwerking op de c-grond (nakoming van een wettelijke verplichting) is dus niet vatbaar voor bezwaar. Ter rechtvaardiging hiervan is in de memorie van toelichting bij de Wbp opgemerkt dat een wettelijke verplichting tot gegevensverwerking ‘in de regel zo weinig beoordelingsruimte voor de verantwoordelijke over[laat] dat in dergelijke gevallen een recht van verzet van de betrokkene niet zinvol is’. ^[84]

2.37

Het recht op gegevenswissing na bezwaar (art. 17 lid 1 onder c AVG) is gelet op het voorgaande eveneens uitsluitend van toepassing bij een verwerking op de e- of f-grond. Art. 17 lid 1 AVG noemt nog meer situaties waarin een recht op gegevenswissing bestaat, bijvoorbeeld wanneer de gegevens niet langer nodig zijn voor het doel van de verwerking (sub a) of wanneer de rechthebbende een eerder gegeven toestemming intrekt (sub b). Ingevolge art. 17 lid 3 onder b AVG mist het recht op gegevenswissing evenwel toepassing als de gegevensverwerking nodig is voor het nakomen van een in het Unierecht of het lidstatelijke recht neergelegde ‘wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust’. Deze uitzondering correspondeert met de verwerkingsgrond van art. 6 lid 1 onder c AVG (nakoming van een wettelijke verplichting). ^[85] Bij een verwerking op de c-grond bestaat er dus naar de letter van de AVG noch een recht op bezwaar, noch een recht op gegevenswissing. ^[86]

Beslistermijnen en rechtsmiddelen na bezwaar (art. 12 lid 3 AVG en art. 35 UAVG)

2.38

Art. 12 lid 3 AVG regelt de beslistermijnen in geval van een verzoek krachtens de artikelen 15 tot en met 22 AVG, waaronder een verzoek om gegevenswissing (art. 17 AVG) en een verzoek tot staking van de gegevensverwerking uit hoofde van bezwaar (art. 21 AVG). De verwerkingsverantwoordelijke verstrekt de rechthebbende onverwijld en in ieder geval binnen
één maand na ontvangst van het verzoek informatie over het gevolg dat daaraan is gegeven, onder opgave van de redenen daarvoor. Deze beslistermijn kan indien nodig met nog eens
twee maanden worden verlengd. ^[87]

2.39

Wordt het verzoek geweigerd, of heeft de rechthebbende anderszins gronden om te menen dat zijn rechten uit hoofde van de AVG zijn geschonden, dan heeft hij ingevolge art. 79 lid 1 AVG het recht om een ‘doeltreffende voorziening in rechte’ in te stellen. Ter uitwerking hiervan is in art. 34 UAVG bepaald dat een schriftelijke beslissing op een verzoek krachtens de artikelen 15 tot en met 22 AVG (zoals een beslissing op bezwaar en/of op een verzoek om gegevenswissing) heeft te gelden als een
besluit in de zin van de Algemene wet bestuursrecht (Awb), voor zover die beslissing is genomen door een bestuursorgaan. In dat geval zijn de rechtsmiddelen en de termijnen uit de Awb van toepassing, waaronder de in art. 6:7 Awb neergelegde termijn van
zes weken voor het instellen van beroep bij de bestuursrechter.

2.4

Is de beslissing genomen door een private partij, dan kan de rechthebbende ingevolge art. 35 lid 1 UAVG een verzoekschriftprocedure bij de rechtbank instellen, waarin hij veroordeling van de verwerkingsverantwoordelijke verzoekt om alsnog te voldoen aan het verzoek als bedoeld in de artikelen 15 tot en met 22 AVG. Art. 35 lid 2 UAVG bepaalt, naar analogie van de bestuursrechtelijke beroepstermijn, ^[88] dat het verzoekschrift binnen
zes weken na ontvangst van het antwoord van de verwerkingsverantwoordelijke moet worden ingediend. Indien de verwerkingsverantwoordelijke niet binnen de in art. 12 lid 3 AVG genoemde beslistermijn van in beginsel één maand heeft geantwoord, is de indiening van het verzoekschrift niet aan een termijn gebonden, zo vervolgt art. 35 lid 2 UAVG.

2.41

In de praktijk worden geschillen over de verwerking van persoonsgegevens, met name waar het bezwaren tegen een kredietregistratie betreft, vaak aan de voorzieningenrechter in kort geding voorgelegd. Volgens vaste jurisprudentie staat de bijzondere rechtsingang van art. 35 lid 1 UAVG (een verzoekschriftprocedure) hieraan niet in de weg. Wel oordelen de meeste rechters in kort geding, evenals de voorzieningenrechter in deze zaak, ^[89] dat de eiser niet-ontvankelijk moet worden verklaard, indien de gevraagde voorziening strekt tot staking van de verwerking van persoonsgegevens en de dagvaarding is uitgebracht ná het verstrijken van de in art. 35 lid 2 UAVG genoemde termijn. ^[90] Het gerechtshof Amsterdam heeft deze lijn in een principieel gemotiveerd arrest bevestigd, met de kanttekening dat de eiser ingevolge art. 21 lid 1 AVG ‘te allen tijde’ – en derhalve ‘meermalen’ (aldus het hof) – bezwaar kan instellen tegen de gegevensverwerking. Na het verstrijken van de in art. 35 lid 2 UAVG genoemde termijn zal de eiser daarom volgens het hof in beginsel eerst opnieuw bezwaar moeten maken, dan wel zijn spoedeisend belang in kort geding moeten onderbouwen ‘tegen de achtergrond van het stelsel van artikel 21 AVG en 35 UAVG’. ^[91] Volledigheidshalve teken ik hierbij aan dat in de rechtspraak van het HvJEU nog niet is uitgemaakt of (c.q. in hoeverre) op grond van art. 21 lid 1 AVG inderdaad ‘meermalen’ eenzelfde verzoek tot staking van een gegevensverwerking kan worden ingediend. ^[92]

2.42

In alinea 2.36 e.v. bleek al dat bij toepassing van de c-grond geen recht op bezwaar of gegevenswissing bestaat. Dit betekent dat ook de termijn van art. 35 lid 2 UAVG dan strikt genomen toepassing mist, zoals de voorzieningenrechter in rov. 4.4 van het tussenvonnis in deze zaak heeft aangenomen. ^[93] Hiervan uitgaande zou een gegevensverwerking op de c-grond tot in lengte van jaren kunnen worden aangevochten (al dan niet in kort geding). Sommige auteurs betogen echter dat de termijn van art. 35 lid 2 UAVG steeds zou moeten gelden, ongeacht de toepasselijke verwerkingsgrondslag. ^[94] Deze discussie illustreert opnieuw het belang van het onderscheid tussen de verschillende verwerkingsgronden. ^[95]

Wettelijk kader kredietregistratie (art. 4:32 / 4:34 Wft en art. 114 BGfo)

2.43

Tot zover inventariseerde ik het Europeesrechtelijke kader van de AVG en de aanverwante regelgeving. In deze zaak gaat het om de vraag hoe de nationale wet- en regelgeving inzake kredietregistratie inpasbaar is in dat Europeesrechtelijke kader. Meer concreet is de vraag of de uit de Wet op het financieel toezicht (
Wft ) ^[96] en de aanverwante regelgeving voortvloeiende verplichting van kredietaanbieders om deel te nemen aan een stelsel van kredietregistratie en om in voorkomende gevallen dat stelsel te raadplegen, als een wettelijke verplichting in de zin van art. 6 lid 1 onder c AVG is aan te merken. Met het oog op de beantwoording van die vraag inventariseer ik hierna de wet- en regelgeving op het gebied van het financieel toezicht, gevolgd door een bespreking van de bijbehorende wetsgeschiedenis, een en ander voor zover relevant voor deze zaak.

2.44

Art. 4:32 lid 1 Wft verplicht kredietaanbieders om deel te nemen aan een stelsel van kredietregistratie. De bepaling luidt als volgt:

‘Een aanbieder van krediet neemt deel aan een stelsel van kredietregistratie dat aan alle aanbieders van krediet die gevestigd zijn in een lidstaat toegang biedt onder dezelfde voorwaarden.'

Een vergelijkbare bepaling was eertijds opgenomen in art. 14 lid 2 van de Wet op het consumentenkrediet (
Wck ) ^[97] en art. 52 van de Wet financiële dienstverlening (
Wfd ). ^[98] Beide bepalingen zijn inmiddels vervallen, maar de hierna te bespreken totstandkomingsgeschiedenis ervan is mede van belang voor een goed begrip van art. 4:32 lid 1 Wft.

2.45

Art. 4:34 lid 1 Wft verplicht aanbieders van consumentenkrediet om, ter voorkoming van overkreditering van de consument, informatie in te winnen over de financiële positie van de consument en te beoordelen of de beoogde kredietverlening verantwoord is. Dit wordt ook wel de
zorgplicht ter voorkoming van overkreditering genoemd. De bepaling luidt als volgt:

‘Voor de totstandkoming van een overeenkomst inzake krediet, of een belangrijke verhoging van de kredietlimiet, dan wel de som van de bedragen die op grond van een bestaande overeenkomst inzake krediet aan de consument ter beschikking zijn gesteld, wint een aanbieder van krediet in het belang van de consument informatie in over diens financiële positie en beoordeelt hij, ter voorkoming van overkreditering van de consument, of het aangaan van de overeenkomst onderscheidenlijk de belangrijke verhoging verantwoord is.’

Een soortgelijke bepaling was eertijds opgenomen in art. 28 Wck en art. 51 Wfd.

2.46

De zorgplicht ter voorkoming van overkreditering is (op de grondslag van art. 4:34 lid 3 Wft) uitgewerkt in art. 114 van het Besluit Gedragstoezicht financiële ondernemingen Wft (
BGfo ). ^[99] Deze bepaling luidt als volgt:

‘Alvorens met een consument een overeenkomst inzake krediet aan te gaan waarvan het totale kredietbedrag meer dan € 250 bedraagt, raadpleegt een aanbieder van krediet de bij het stelsel van kredietregistratie waaraan hij deelneemt geregistreerde gegevens over reeds aan de consument verleende kredieten.’

2.47

Art. 4:34 lid 2 Wft bevat een op het eerste lid voortbouwende bepaling, inhoudende dat een consumentenkrediet of een belangrijke verhoging daarvan moet worden geweigerd indien het krediet respectievelijk de verhoging met het oog op overkreditering van de consument onverantwoord is. Deze zogenaamde
weigeringsplicht is uitgewerkt in art. 113 lid 1 BGfo, dat bepaalt:

‘Een aanbieder van krediet gaat met een consument geen overeenkomst inzake krediet aan waarvan het totale kredietbedrag meer dan € 1000 bedraagt, indien hij niet beschikt over voldoende schriftelijke of op een andere duurzame drager vastgelegde informatie aangaande de financiële positie van de consument om, ter voorkoming van overkreditering, te kunnen beoordelen of het aangaan van de overeenkomst verantwoord is.’

2.48

Volledigheidshalve wijs ik nog op art. 115 BGfo, waarin is bepaald dat een kredietaanbieder, ter voorkoming van overkreditering van de consument, de criteria vastlegt en toepast die hij ten grondslag legt aan de beoordeling van een kredietaanvraag van een consument (lid 1). De aan te leggen inkomenscriteria worden bij ministeriële regeling bepaald (lid 3).

2.49

De zorgplicht ter voorkoming van overkreditering heeft mede een Europeesrechtelijke achtergrond. Art. 8 lid 1 van Richtlijn 2008/48/EG (hierna:
de Richtlijn consumentenkrediet ) ^[100] bepaalt dat lidstaten ervoor zorgen dat de kredietaanbieder vóór het sluiten van de kredietovereenkomst de kredietwaardigheid van de consument beoordeelt, op basis van toereikende informatie die is verkregen van de consument en, waar nodig, op basis van raadpleging van ‘het desbetreffende gegevensbestand’. ^[101] Art. 9 regelt de toegang tot zulke ‘gegevensbestanden’, in de richtlijn ook ‘gegevensbanken’ genoemd. Het artikel eist niet dat lidstaten kredietaanbieders
verplichten tot deelname aan gegevensbanken, maar wel dat de gegevensbanken toegankelijk zijn voor kredietaanbieders uit alle lidstaten, onder voorwaarden die niet discriminerend zijn (art. 9 lid 1). Het artikel doet geen afbreuk aan de toepassing van de Richtlijn bescherming persoonsgegevens (art. 9 lid 4), thans de AVG. Soortgelijke bepalingen zijn opgenomen in art. 18 en 21 van Richtlijn 2014/17/ЕU inzake hypothecair krediet. ^[102]

Wetsgeschiedenis over het BKR als stelsel van kredietregistratie

2.5

Uit het voorgaande blijkt dat kredietaanbieders wettelijk verplicht zijn tot deelname aan ‘een stelsel van kredietregistratie’ (art. 4:32 lid 1 Wft) en dat zij, als uitvloeisel van hun wettelijke zorgplicht ter voorkoming van overkreditering (art. 4:34 lid 1 Wft), in voorkomende gevallen ook verplicht zijn tot raadpleging van de gegevens die zijn opgenomen in het stelsel van kredietregistratie waaraan zij deelnemen (art. 114 BGfo). In de wet- en regelgeving is niet bepaald
welk stelsel van kredietregistratie als zodanig in aanmerking komt. Uit de hierna te bespreken wetsgeschiedenis blijkt echter dat de wetgever primair het oog heeft gehad op het door het BKR aangeboden stelsel (het CKI ^[103] ), dat tot op heden het enige in Nederland aangeboden stelsel is dat voldoet aan de eisen van art. 4:32 lid 1 Wft in samenhang met art. 9 van de Richtlijn consumentenkrediet.

Wet op het consumentenkrediet

2.51

In art. 14 lid 2 Wck (oud) was bepaald dat aan de voor kredietverlening vereiste vergunning het voorschrift kon worden verbonden dat de kredietaanbieder zich aansloot bij ‘een stelsel van kredietregistratie’ (vgl. thans art. 4:32 lid 1 Wft). In art. 28 lid 2 Wck (oud) was bepaald dat de kredietaanbieder, indien hij ingevolge bedoeld vergunningvoorschrift deelnam aan een stelsel van kredietregistratie, verplicht was de in dat kader geregistreerde gegevens over de consument te raadplegen, alvorens een krediet te verlenen van tweeduizend gulden of meer (vgl. thans art. 114 BGfo).

2.52

In de memorie van toelichting bij de Wck is de ontwikkeling van de kredietregistratie in Nederland geschetst. Met het belangrijker worden van de kredietverlening aan consumenten in de jaren ’60 van de twintigste eeuw, werd door kredietaanbieders in toenemende mate de behoefte gevoeld aan een ‘centrale informatiebron’, waarin gegevens over ‘reeds verleende kredieten en eventuele reeds bestaande betalingsproblemen’ zouden zijn opgenomen, met het oog op de ‘acceptatiebeslissing’. ^[104] Een en ander leidde in 1965, op initiatief van de financiële sector, tot de oprichting van het BKR, een stichting die volgens de wetgever ‘zeker niet uitsluitend het eigen belang’ diende. ^[105] De toets bij het BKR omtrent de daar geregistreerde verplichtingen van de kredietaanvrager is in de memorie van toelichting aangemerkt als een ‘belangrijk onderdeel van het inwinnen van de nodige inlichtingen’. Het paste volgens de wetgever in de toenmalige opvattingen over de verhouding tussen de private en de publieke sector om ‘niet tot overheidsingrijpen over te gaan indien een privaatrechtelijke stichting – het BKR – goed functioneert’. ^[106] Het bepaalde in art. 28 lid 2 Wck (oud) werd in de memorie van toelichting als volgt geparafraseerd:

‘Ingevolge het
tweede lid dient de BKR-toets te worden verricht indien de kredietgever ingevolge vergunningvoorschrift is aangesloten bij het BKR.’ ^[107]

2.53

In de memorie van antwoord is herhaald dat het BKR ‘zeker niet uitsluitend het eigen belang dient’. Met deze formulering is volgens de regering bedoeld ‘dat de zelfregulering met betrekking tot het BKR door de overheid gezien wordt als een bewijs voor de stelling dat het betrokken bedrijfsleven zijn maatschappelijke verantwoordelijkheid serieus neemt. Een goed functionerende kredietregistratie is immers niet alleen een kredietgevers- maar ook een consumenten- en een algemeen belang.’ ^[108] De vraag ‘of de zelfregulering niet te vrijblijvend benaderd is’, werd door de regering ontkennend beantwoord. ^[109] In antwoord op een vraag over de rechtsgevolgen van een eventuele weigering om deel te nemen aan het BKR is namens de regering opgemerkt dat het BKR ‘een privaatrechtelijke rechtspersoon is, die geen overheidstaak uitoefent en zelfstandig haar beleid kan bepalen’. ^[110]

Wet financiële dienstverlening

2.54

In art. 51 lid 1 Wfd (oud) was bepaald dat de kredietaanbieder, voorafgaand aan de totstandkoming van een kredietovereenkomst, informatie inwint over de financiële positie van de consument en ter voorkoming van overkreditering van de consument beoordeelt of het aangaan van de overeenkomst verantwoord is (vgl. thans art. 4:34 lid 1 Wft). In art. 52 Wfd (oud) was bepaald dat de kredietaanbieder deelneemt aan ‘een stelsel van kredietregistratie’ (vgl. thans art. 4:32 lid 1 Wft).

2.55

In de memorie van toelichting bij de Wfd is benadrukt dat inzicht in de kredietpositie van de consument een ‘belangrijk onderdeel [is] van de zorgplicht die een kredietverstrekker jegens zijn wederpartij heeft’. Dit inzicht helpt ‘invulling te geven aan zijn verantwoordelijkheid voor het adviseren van het juiste product dat bij de kredietpositie van de consument past’. ‘Een systeem van kredietregistratie is hiervoor belangrijk’, aldus de wetgever. ^[111] Met betrekking tot de in art. 51 lid 1 Wfd (oud) neergelegde zorgplicht ter voorkoming van overkreditering is vermeld dat deze in lagere regelgeving zal worden uitgewerkt en in bepaalde gevallen ertoe zal leiden dat voorafgaande aan het sluiten van een kredietovereenkomst ‘de databank van een stelsel van kredietregistratie moet worden geraadpleegd’. ^[112] Met betrekking tot de in art. 52 Wfd (oud) neergelegde verplichting tot deelname aan een stelsel van kredietregistratie is opgemerkt:

‘De verplichting uit het eerste lid is overgenomen uit artikel 14, tweede lid, van de Wck. Op grond van dat artikel was deelname aan een stelsel van kredietregistratie een voorschrift verbonden aan de vergunning. Tot de taken van een stelsel van kredietregistratie behoren in ieder geval het verzamelen, vastleggen, ordenen en het ter beschikking stellen aan deelnemers van gegevens, van belang bij de beoordeling van de financiële draagkracht van de consument, met inachtneming van een zo groot mogelijke bescherming van de persoonlijke levenssfeer. De Stichting Bureau Krediet Registratie voldoet op dit moment aan deze vereisten. Het is echter niet uitgesloten dat in de toekomst ook andere kredietregistratiebureau's als een stelsel van kredietregistratie in de zin van het wetsvoorstel kunnen worden aangemerkt.’ ^[113]

2.56

Bij het wetsvoorstel behoorde ook een ontwerp Besluit financiële dienstverlening (
Bfd ). ^[114] In art. 60 van dat besluit was de zorgplicht ter voorkoming van overkreditering nader uitgewerkt met het voorschrift dat de kredietaanbieder, alvorens een kredietovereenkomst met een consument aan te gaan ten bedrage van € 1.000 of meer, de in het stelsel van kredietregistratie waaraan hij deelneemt geregistreerde gegevens over reeds aan de consument verleende kredieten dient te raadplegen (vgl. thans art. 114 BGfo). De minister heeft dat voorschrift als volgt geparafraseerd:

‘Bij het verstrekken van krediet onder de € 1000 geldt in het u voorgelegde concept Bfd onder andere geen verplichte toets bij een stelsel van kredietregistratie, feitelijk het BKR.’ ^[115]

Wet op het financieel toezicht en BGfo

2.57

De relevante bepalingen uit de Wft en het BGfo zijn hiervoor geïntroduceerd in alinea 2.44 e.v. Zoals gezegd bouwen die bepalingen voort op de zojuist besproken bepalingen uit de Wck, respectievelijk de Wfd en het Bfd.

2.58

In de toelichting bij het ontwerp van art. 4:32 Wft, houdende de verplichting voor kredietaanbieders om deel te nemen aan een stelsel van kredietregistratie, is opgemerkt dat het BKR ‘op dit moment voldoet’ aan de eisen die aan een dergelijk stelsel kunnen worden gesteld. De wetgever acht het ‘niet uitgesloten dat in de toekomst ook andere kredietregistratiebureau’s’ als een stelsel van kredietregistratie in de zin van de Wft kunnen worden aangemerkt. ^[116] Met betrekking tot de in art. 4:34 lid 1 Wft neergelegde zorgplicht ter voorkoming van overkreditering is opgemerkt dat deze in lagere regelgeving zal worden uitgewerkt en in bepaalde gevallen ertoe zal leiden dat voorafgaande aan het sluiten van een kredietovereenkomst ‘de databank van een stelsel van kredietregistratie moet worden geraadpleegd’. ^[117] Een en ander stemt overeen met de in alinea 2.55 geciteerde passages uit de memorie van toelichting bij de Wfd.

2.59

Bij de behandeling van het wetsvoorstel zijn Kamervragen gesteld over ‘het registreren van kredieten vanaf een bepaald bedrag en het toetsen bij Stichting BKR voordat een krediet verstrekt wordt’. De minister heeft hierop geantwoord dat ‘het bedrag waarboven het voor een kredietverstrekker verplicht wordt om informatie in te winnen bij een stelsel van kredietregistratie’ is verlaagd van € 1.000 naar € 250. ^[118]

2.6

Bij het wetsvoorstel behoorde ook een ontwerp BGfo, met bijbehorende nota van toelichting. ^[119] In deze nota van toelichting is benadrukt dat het BKR niet noodzakelijkerwijs het enige stelsel van kredietregistratie in Nederland is. De door de Nederlandse Vereniging van Handelsinformatiebureau’s (NVH) geuite zorg ‘dat alleen het BKR als stelsel van kredietregistratie wordt genoemd’, noemde de minister ‘ongegrond’. Uit art. 4:32 Wft blijkt volgens de minister ‘duidelijk dat niet één bepaald stelsel is beoogd’. In dit verband wees de minister op ‘het lopende marktinitiatief om tot een uitbreiding van schuldenregistratie te komen’. ^[120] Ook in de toelichting bij art. 112 van het ontwerp-BGfo (dat het voorschrift bevatte om in een kredietprospectus te vermelden aan welk stelsel van kredietregistratie de aanbieder deelnam) is benadrukt dat ‘niet één bepaald stelsel’ is beoogd. ^[121]

Implementatiewet Richtlijn consumentenkrediet

2.61

De relevante bepalingen uit de Richtlijn consumentenkrediet zijn hiervoor geïntroduceerd in alinea 2.49. Met het oog op de implementatie daarvan zijn art. 4:32 Wft, inzake de verplichte deelname aan een stelsel van kredietregistratie, en art. 4:34 Wft, inzake de zorgplicht ter voorkoming van overkreditering, enigszins aangepast. ^[122]

2.62

In de memorie van toelichting bij het implementatievoorstel is opgemerkt dat, door handhaving van art. 4:32 Wft, gebruik is gemaakt van de door de richtlijn geboden mogelijkheid ‘om het vereiste te behouden dat de aanbieder van krediet de kredietwaardigheid beoordeelt op basis van de raadpleging van een gegevensbestand, zoals thans ingevuld door Stichting Bureau Kredietregistratie (BKR) te Tiel als stelsel van kredietregistratie’. De wetgever merkte hierbij op dat het BKR ‘nu ook al’ voldoet aan de door de richtlijn gestelde eis dat de toegang tot het stelsel niet discriminerend mag zijn. ^[123] Ook met betrekking tot de ingevolge art. 4:34 lid 1 Wft uit te voeren kredietwaardigheidstoets voorzag de wetgever geen wijziging van de Nederlandse praktijk. ^[124]

2.63

Bij de behandeling van het implementatievoorstel heeft de minister opgemerkt dat in Nederland het BKR de functie vervult van een gegevensbank die wordt gebruikt om de kredietwaardigheid van consumenten te beoordelen, als bedoeld in art. 9 van de richtlijn consumentenkrediet. ^[125] In antwoord op Kamervragen over de implementatie van de kredietwaardigheidstoets als voorgeschreven in art. 8 van de richtlijn, merkte de minister op dat Nederland deze verplichting al kende en dat bij deze implementatie ‘geen nieuw beleid’ werd voorgesteld. ^[126] In reactie op een verzoek om ‘nadere informatie over de registratie van telecomschulden’ zette de minister het Nederlandse stelsel van kredietregistratie op grond van de Wft uiteen. De minister benadrukte in dit verband dat ‘kredietregistratie bij BKR een belangrijk middel ter invulling van de kredietwaardigheidstoets’ is. Met het oog op een ‘zo volledig mogelijke kredietregistratie’ moeten kredietaanbieders aangesloten zijn bij ‘een stelsel van kredietregistratie’, aldus de minister, die in dit verband tussen haakjes toevoegde dat het BKR ‘op dit moment het enige stelsel van kredietregistratie [is] dat in Nederland bestaat’. De minister constateerde dat telecombedrijven tot 1 januari 2011 op vrijwillige basis waren aangesloten bij het BKR en juichte toe dat zij in overleg met het BKR de mogelijkheden verkenden om tot ‘alternatieve registratie’ te komen. ^[127]

Verwerking van persoonsgegevens op grond van het CKI-reglement

2.64

Uit de hiervoor besproken wetsgeschiedenis blijkt dat de wetgever de inrichting van het stelsel van kredietregistratie (als bedoeld in art. 4:32 lid 1 Wft en art. 114 BGfo) welbewust ‘aan de markt’ heeft overgelaten. Omdat het BKR vooralsnog de enige Nederlandse aanbieder is van een stelsel van kredietregistratie dat aan de wettelijke eisen voldoet, komt de op kredietaanbieders rustende wettelijke verplichting tot deelname aan en raadpleging van ‘een stelsel van kredietregistratie’ in de praktijk neer op een verplichting tot deelname aan en raadpleging van het
BKR (meer bepaald het CKI van het BKR). ^[128]

2.65

Uit de wet- en regelgeving en de wetsgeschiedenis blijkt niet
welke gegevens in het BKR geregistreerd mogen of moeten worden en evenmin onder
welke voorwaarden de gegevensverwerking door het BKR en de daarbij aangesloten kredietaanbieders plaatsvindt, bijvoorbeeld hoelang de geregistreerde gegevens mogen of moeten worden bewaard en in welke gevallen zij mogen of moeten worden gewist. Wel blijkt uit de wet en de wetsgeschiedenis met
welk doel de deelname aan en raadpleging van het CKI plaatsvindt, namelijk ten behoeve van het inwinnen van informatie over de financiële positie van de consument, zulks ter voorkoming van overkreditering van de consument. ^[129] Dat is de doelstelling die ook uitdrukkelijk in art. 4:34 lid 1 Wft is genoemd. Dezelfde doelstelling komt ook tot uitdrukking in onderdeel 26 van de Richtlijn consumentenkrediet, waar wordt gesproken over het belang ‘dat kredietgevers zich niet inlaten met onverantwoorde leningpraktijken of kredieten toestaan zonder de kredietwaardigheid vooraf te hebben beoordeeld’.

2.66

Het BKR heeft het door hem aangeboden stelsel van kredietregistratie nader vormgegeven door de vaststelling van het ‘Algemeen reglement CKI’ (hierna:
het CKI-reglement ). ^[130] Dit is een contractuele regeling die de verhouding tussen het BKR en de daarbij aangesloten ‘zakelijke klanten’ (de kredietaanbieders) beheerst (art. 2). ^[131] Volgens het CKI-reglement verwerkt het BKR persoonsgegevens ter bevordering van een ‘maatschappelijk verantwoorde dienstverlening’. Deze doelstelling is tweeledig. Enerzijds wil het BKR ‘consumenten behoeden voor overkreditering en andere financiële problemen’. Anderzijds levert het BKR voor haar zakelijke klanten ‘een bijdrage aan het beperken van de financiële risico’s bij kredietverlening en aan het voorkomen en bestrijden van misbruik en fraude’ (art. 3 lid 1). ^[132]

2.67

De gegevensverwerking in het CKI vindt volgens het reglement haar rechtmatige grondslag in art. 6 lid 1
onder f van de AVG, ‘omdat de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van Stichting BKR en haar zakelijke klanten’ (art. 3 lid 4). De inleiding bij het CKI-reglement vermeldt (op pagina 3, zonder onderbouwing) dat het melden van leningen aan het BKR een ‘wettelijke verplichting’ voor kredietverstrekkers in Nederland is.

2.68

In het CKI-reglement is omschreven welke persoonsgegevens het BKR verwerkt, welke gegevens zakelijke klanten moeten melden bij het BKR en binnen welke termijn dat moet gebeuren (art. 9 e.v.). Ook is gespecificeerd wanneer persoonsgegevens uit het CKI worden verwijderd (art. 14). Daarbij geldt als uitgangspunt dat gegevens van afgelopen kredietovereenkomsten vijf jaren na de einddatum worden verwijderd (art. 14 lid 1), terwijl achterstanden, herstelmeldingen en bijzonderheidscoderingen met betrekking tot lopende overeenkomsten vijf jaren na de registratiedatum, respectievelijk na de herstelmelding worden verwijderd (art. 14 leden 3 e.v.). Het is de zakelijke klant (de kredietaanbieder) niet toegestaan om een contract, achterstand, herstelcode en/of bijzonderheidscodering uit het CKI te verwijderen, tenzij er sprake is van (a) een onterechte registratie, (b) een terechte registratie die onder de gegeven omstandigheden disproportioneel blijkt of (c) een rechterlijke uitspraak of uitspraak van een geschillencommissie die tot verwijdering dwingt (art. 14 lid 10).

Wettelijke basis voor verwerking van persoonsgegevens door het BKR?

2.69

Blijkens het voorgaande berust de verwerking van persoonsgegevens door het BKR niet op een wettelijke grondslag, maar op het CKI-reglement, een vorm van zelfregulering die weliswaar uitdrukkelijk is aanvaard door de wetgever (vgl. alinea 2.53), maar die geen expliciete basis heeft in de wet- en regelgeving.

2.7

Bij brief van 14 november 2019 heeft de Autoriteit Persoonsgegevens (de in Nederland aangewezen toezichthoudende autoriteit in de zin van art. 51 AVG; hierna
AP ) aan de minister van Financiën bericht dat naar haar mening geen toereikende wettelijke grondslag bestaat voor de verwerking van persoonsgegevens in het kader van de kredietregistratie. Volgens de AP bevat de Wft voor kredietaanbieders weliswaar concrete verplichtingen om deel te nemen aan een stelsel van kredietregistratie en om dat stelsel te raadplegen, maar zijn deze verplichtingen ‘met betrekking tot de verwerking van persoonsgegevens (…) niet verder uitgewerkt’. Zo ontbreken regels over ‘de vormgeving, bewaartermijnen en waarborgen van het register’. Ook is onduidelijk wie dat register mag raadplegen, wanneer dat mag en onder welke voorwaarden, alsmede hoe lang de geregistreerde gegevens mogen worden bewaard. De (hiervoor in alinea 2.55 geciteerde) wetsgeschiedenis refereert weliswaar aan de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer, maar dit is tot op heden ‘niet verder uitgewerkt in concrete wetgeving’. Het gevolg hiervan is volgens de AP dat de ‘onvrijwillige verwerkingen die noodzakelijk zijn om invulling te kunnen geven aan die [op kredietaanbieders rustende] zorgplichten’ enkel gebaseerd kunnen worden op de
f-grond van art. 6 lid 1 AVG. Dit betekent dat ‘steeds per verwerking en per cliënt dient te worden beoordeeld of de verwerking noodzakelijk is en blijft en zwaarder weegt dan de bescherming van de persoonsgegevens van de betrokkene’. ^[133]

2.71

De AP signaleert in dit verband dat het BKR zelf geen beroep kan doen op de zorgplichten in de Wft (als grondslag voor de gegevensverwerking), aangezien die zorgplichten ‘enkel rusten op de kredietaanbieders’. ^[134] Het AP adviseert de minister om wetgeving tot stand te brengen waarbij (i) de inbreuk op de grondrechten van betrokkenen expliciet wordt afgewogen tegen het betrokken algemene belang (voorkoming van overkreditering), (ii) het beheer van het stelsel van kredietregistratie als wettelijke taak of verplichting aan een bepaalde beheerder wordt opgedragen en (iii) wordt voorzien in duidelijke waarborgen voor de betrokkenen en voor een goede taakuitoefening. ^[135]

2.72

Bij brief van 12 december 2019 heeft de minister van Financiën aan de Tweede Kamer bericht het advies van de AP ter harte te nemen. De minister onderschreef in deze brief het belang van een zorgvuldige verwerking van persoonsgegevens in het kader van de kredietregistratie. Om ervoor te zorgen dat ‘een goed, betrouwbaar systeem van kredietregistratie voor nu en voor de toekomst wettelijk geborgd is’, zou de minister in overleg met stakeholders ‘bezien hoe het stelsel kan worden verbeterd en welke waarborgen daarbij passen’. Hij streefde ernaar om voor het einde van 2020 een conceptwetsvoorstel in internetconsultatie te brengen. ^[136]

2.73

Bij brief van 27 oktober 2020 schreef de minister, onder verwijzing naar zijn brief van 12 december 2019, dat het aangekondigde overleg met stakeholders had plaatsgevonden en dat het beoogde ‘Wetsvoorstel kredietregistratie’ binnen enkele maanden in consultatie zou worden gebracht. ^[137]

2.74

Eind april 2021 heeft de minister van Sociale Zaken en Werkgelegenheid, mede namens de minister van Financiën, Kamervragen beantwoord over een eerder namens de regering gedane toezegging om met het BKR in gesprek te gaan over ‘de lengte van de registratietermijn, met daarbij specifieke aandacht voor mensen wier registratie gerelateerd is aan corona’. In dat verband heeft de minister opgemerkt dat uit art. 4:34 Wft en de artikelen 113 tot en met 115 BGfo volgt dat kredietverstrekkers, met het oog op de beoordeling of het aangaan van een kredietovereenkomst met een consument verantwoord is, ‘kredietovereenkomsten [moeten] registreren in een stelsel van kredietregistratie’ en dat zij in het kader van die beoordeling ‘verplicht [zijn] het stelsel van kredietregistratie te raadplegen’. ^[138] Raadpleging van het BKR is volgens de minister ‘een belangrijk instrument om inzicht te krijgen in welke kredieten een consument al heeft’. Inzicht in de ‘betaalgeschiedenis’ heeft tot doel om ‘betalingsproblemen in de toekomst te voorkomen’. De termijnen voor het bewaren van kredietregistraties zijn momenteel geregeld in de reglementen van het BKR. De minister heeft in dit verband het eerder aangekondigde Wetsvoorstel kredietregistratie gememoreerd en medegedeeld dat het streven is om dit wetsvoorstel rond de zomer van 2021 in consultatie te brengen. ^[139] Verder heeft de minister nog opgemerkt dat hij vooralsnog geen aanleiding ziet om het BKR te vragen om verkorting van de gehanteerde registratietermijn, aangezien daarmee ‘een bescherming tegen overkreditering’ zou vervallen. ^[140]

2.75

Volledigheidshalve vermeld ik dat de wetgever in een specifieke context, namelijk die van de bekende ‘Toeslagenaffaire’, heeft voorzien in een wettelijke regeling op grond waarvan kredietregistraties van gedupeerde ouders die in aanmerking komen voor een forfaitaire tegemoetkoming ‘per omgaande verwijderd [worden] uit het stelsel van kredietregistratie’. ^[141] Op dit specifieke punt voorziet de wet dus in een grondslag voor de verwerking (meer bepaald de verwijdering) van persoonsgegevens in het BKR.

Kredietregistratie en de bescherming van persoonsgegevens

2.76

Sinds de inwerkingtreding van de AVG (medio 2018) is in de lagere rechtspraak ter discussie komen te staan op welke van de in art. 6 lid 1 AVG genoemde verwerkingsgronden de kredietregistratie in het CKI van het BKR berust. Onder het regime van de op dit punt gelijkluidende Wbp leek hierover geen discussie te bestaan. De memorie van toelichting bij de Wbp vermeldde met zoveel woorden dat kredietregistratie op de
f-grond plaatsvond:

‘Ingevolge de Wet op het Consumentenkrediet (Stb. 1990, 395) dient in bepaalde gevallen – voordat consumptieve kredieten kunnen worden verstrekt – de schuldenpositie van de kredietaanvrager te worden getoetst. De Stichting Bureau Kredietregistratie toetst deze kredietwaardigheid van particulieren. De gegevensverwerkingen die voortvloeien uit deze toetsingstaak gelden weliswaar als zijnde noodzakelijke precontractuele stappen teneinde een kredietovereenkomst met de betrokkene te kunnen aangaan maar kunnen bezwaarlijk worden aangemerkt als handelingen die op verzoek van de betrokkene worden verricht. Deze handelingen be[o]gen meer het gerechtvaar[d]igd belang van de bank te dienen enige informatie te hebben over de financiële positie van de betrokkene alvorens met hem bepaalde overeenkomsten te sluiten. De gegevensverwerkingen die in het kader van deze handelingen plaatsvinden worden daarom ook gerechtvaar[d]igd door artikel 8, onder f. De handelingen moeten voorts noodzakelijk zijn teneinde de overeenkomst te kunnen sluiten. De formulering van het voorschrift is aangepast overeenkomstig het advies van de Registratiekamer.’ ^[142]

2.77

Hiervoor bleek al dat de Autoriteit Persoonsgegevens (alinea 2.70) en het BKR zelf (alinea 2.67) eveneens uitgaan van toepasselijkheid van de f-grond. Ook de Artikel 29-Groep (alinea’s 2.24 en 2.28) en de eerder geciteerde buitenlandse literatuur (alinea 2.25) verwijzen voor kredietregistraties primair naar de f-grond, zij het niet specifiek in de Nederlandse context. In de nationale literatuur heb ik geen uitgesproken standpunten over de toepasselijke verwerkingsgrondslag aangetroffen. ^[143]

2.78

In de gepubliceerde lagere rechtspraak over de AVG-toetsing van kredietregistraties lijken verwijzingen naar de
f-grond de boventoon te voeren. ^[144] Ik telde twaalf uitspraken waarin kredietregistraties op de f-grond werden beoordeeld, hetgeen in de meerderheid van die gevallen leidde tot een (gedeeltelijke) toewijzing van de vordering of het verzoek. ^[145] In negen zaken trof ik verwijzingen naar de c-grond aan (soms in combinatie met de f-grond). In bijna al die zaken werd de vordering of het verzoek afgewezen. ^[146] De lagere rechtspraak lijkt dus ruimhartiger voor de rechthebbende in de context van de f-grond dan in de context van de c-grond. Dat sluit aan bij de systematiek van de AVG, die alleen ten aanzien van gegevensverwerkingen op de e- en f-grond voorziet in een recht van bezwaar (alinea 2.36).

2.79

Inmiddels hebben alle gerechtshoven zich uitgesproken over de materie. Er zijn vier lijnen in de appelrechtspraak waarneembaar, die ik hierna in vogelvlucht zal behandelen.

Vier lijnen in de appelrechtspraak

2.8

Het
gerechtshof Den Bosch heeft in een uitvoerig gemotiveerd arrest van 6 augustus 2020 de
c-grond toepasselijk geoordeeld (de
eerste lijn ). Volgens het hof vloeit uit het ‘systeem van kredietregistratie’, dat zowel Unierechtelijk (ingevolge de Richtlijn consumentenkrediet) als nationaalrechtelijk (ingevolge art. 4:32 en 4:34 Wft) is voorgeschreven, dat er niet alleen gegevens worden geregistreerd, maar ook dat de geregistreerde gegevens gedurende een zekere termijn worden bewaard. Dit laatste is volgens het hof ‘inherent aan het voorgeschreven systeem’, met het oog op de beoogde voorkoming van overkreditering (rov. 3.5.13.1). Het hof deelt niet de visie van de AP, dat de kredietregistratie uitsluitend op de f-grond zou berusten. Dit zou immers betekenen ‘dat er enerzijds een verplicht systeem is van raadplegen van kredietregistratie en derhalve een verplichting tot meewerken aan het instandhouden van dat systeem’, terwijl anderzijds ‘zelfs de meest voor de hand liggende uitvoeringshandelingen binnen dit systeem’ niet onder de noodzakelijke verwerking ter uitvoering van een wettelijke verplichting zouden vallen. Een dergelijk onderscheid acht het hof ‘niet alleen voorshands onwerkbaar in het kader van een adequate en wettelijk verplichte kredietregistratie, maar evenmin nodig om de belangen van de betrokkene conform de AVG adequaat te beschermen’ (rov. 3.5.14). Het hof neemt hierbij in aanmerking dat de verwerking te allen tijde (ook bij toepassing van de c-grond) moet worden getoetst aan de beginselen van proportionaliteit en subsidiariteit, als bedoeld in de
Santander -beschikking (rov. 3.5.15). Dat een wettelijke regeling als door de AP bepleit ‘evidente voordelen’ heeft, doet volgens het hof aan het voorgaande niet af (rov. 3.5.16). Het hof concludeert dat banken ter uitvoering van hun ‘wettelijke plicht tot deelname aan een kredietregistratiesysteem (en alles wat daar noodzakelijk bij hoort)’ persoonsgegevens
‘ mogen laten verwerken’ door het BKR op grond van art. 6 lid 1 onder c AVG (rov. 3.5.17). ^[147]

2.81

Het
gerechtshof Den Haag heeft bij beschikking van 8 september 2020 uitsluitend de
f-grond toepasselijk geoordeeld (de
tweede lijn , waarbij de voorzieningenrechter zich in rov. 4.8 van het tussenvonnis in deze zaak heeft aangesloten). Dat de verwerking van persoonsgegevens in kredietregistraties noodzakelijk is om te voldoen aan een wettelijke verplichting van de verwerkingsverantwoordelijke, acht het hof ‘niet aannemelijk’. Art. 4:32 lid 1 Wfz behelst immers slechts een verplichting tot
deelname aan een stelsel van kredietregistratie. Volgens het hof kan niet gezegd worden dat de kredietaanbieder niet aan die ‘deelnemingsverplichting’ voldoet als zij de gegevens van de verzoekster niet in het CKI verwerkt. Het hof gaat er dan ook van uit dat de kredietregistratie op de f-grond berust en dat de verzoekster op grond van art. 21 lid 1 AVG het recht van bezwaar toekomt. ^[148] Bij beschikking van 10 november 2020 heeft het hof deze redenering herhaald, met de kanttekening dat het voor de toepasselijkheid van de proportionaliteits- en subsidiariteitstoets ‘geen wezenlijk verschil’ maakt of de verwerking op de c-grond of de f-grond berust, aangezien die toets bij alle in art. 6 lid 1 AVG genoemde grondslagen moet worden uitgevoerd. ^[149] Volledigheidshalve wijs ik nog op de beschikkingen van 24 september 2019 en 18 mei 2021, waarin het Haagse hof een kredietregistratie aan art. 21 AVG toetste, hetgeen doet vermoeden dat het hof ook in die beschikkingen (stilzwijgend) van toepasselijkheid van de f-grond is uitgegaan. ^[150]

2.82

Het
gerechtshof Amsterdam heeft bij beschikking van 9 februari 2021
zowel de c-grond als de f-grond toepasselijk geoordeeld (de
derde lijn ). Volgens het hof biedt art. 6 lid 1 onder f AVG ‘in ieder geval een grondslag’ voor de BKR-registratie. Voor zover de kredietaanbieder als verwerkingsverantwoordelijke in de zin van de AVG is te beschouwen, biedt ‘ook artikel 6 lid 1 onder c AVG een grondslag’. Aan de wettelijke verplichting tot deelname aan en raadpleging van een stelsel van kredietregistratie (art. 4:32 en 4:34 Wft in verbinding met art. 114 BGfo) is volgens het hof ‘inherent dat met consumentenkredieten verband houdende persoonsgegevens worden verwerkt in een kredietregistratiesysteem en gedurende een bepaalde termijn beschikbaar worden gehouden’. De (handhaving van de) registratie van gegevens in het CKI is daarom volgens het hof noodzakelijk om te voldoen aan deze wettelijke verplichtingen. Evenals het Haagse hof oordeelt het Amsterdamse hof overigens dat de grondslag van de verwerking ‘niet ter zake’ doet voor de toepassing van de proportionaliteits- en subsidiariteitstoets. Niettemin voert het hof twee afzonderlijke toetsingen uit, één op basis van de c-grond (de
Santander -toets) en één op basis van de f-grond (de toets aan art. 21 AVG). ^[151] Volledigheidshalve wijs ik nog op een beschikking van 16 februari 2021, waarin het Amsterdamse hof zijn beslissing heeft aangehouden in afwachting van de beantwoording van de nu voorliggende prejudiciële vragen door de Hoge Raad. ^[152]

2.83

Het
gerechtshof Arnhem-Leeuwarden heeft bij beschikking van 17 december 2020 de zienswijze van het Bossche hof onderschreven (de
eerste lijn ), en die van het Haagse hof verworpen. ^[153] Bij arrest van 3 december 2019 had dit hof ook al toepassing gegeven aan de
c-grond , daartoe overwegende (i) dat kredietaanbieders op grond van art. 4:32 lid 1 Wft verplicht zijn deel te nemen aan een stelsel van kredietregistratie, (ii) dat het CKI het enige in Nederland bestaande stelsel van kredietregistratie is en (iii) dat deelnemers aan het CKI gebonden zijn aan het CKI-reglement. Registratie van persoonsgegevens bij het BKR vindt daarom volgens het hof plaats op grond van een wettelijke plicht als bedoeld in art. 6 lid 1 onder c AVG. ^[154] Bij beschikking van 14 januari 2020 heeft hetzelfde hof (in een andere samenstelling) toepassing gegeven aan art. 21 AVG, daarmee impliciet suggererend dat de
f-grond toepasselijk zou zijn. ^[155] Bij beschikking van 23 februari 2021 heeft dit hof wederom toepassing gegeven aan art. 21 AVG, nochtans uitgaande van toepasselijkheid van de
c-grond . In dat kader overwoog het hof dat het CKI, om een ‘zinvolle invulling’ te kunnen geven aan de zorgplicht ter voorkoming van overkreditering, gegevens zal moeten bevatten over de kredieten die kredietaanbieders aan consumenten hebben verstrekt. Het melden van betalingsachterstanden aan het BKR is daarom volgens het hof ‘noodzakelijk’ om aan de verplichtingen van art. 4:32 en 4:34 Wft te kunnen voldoen. Tegen deze achtergrond verwierp het hof de stelling van de verzoeker, dat de kredietregistratie ‘uitsluitend gebaseerd kan zijn op artikel 6 lid 1 onder f AVG’. ^[156] Al met al tendeert het gerechtshof Arnhem-Leeuwarden in de richting van de c-grond, al lijkt in dit ressort geen sprake te zijn van een eenduidige lijn.

2.84

Volledigheidshalve merk ik nog op dat er ook feitenrechters zijn die de grondslag van de gegevensverwerking
in het midden laten en enkel een belangenafweging uitvoeren aan de hand van de beginselen van proportionaliteit en subsidiariteit. ^[157] Dat is een
vierde lijn , die aansluit bij de pragmatische benadering die de Hoge Raad eertijds in de
Santander -beschikking heeft gekozen (alinea 2.5).

3. Bespreking van de prejudiciële vragen

Vraag 1: onder welke AVG-verwerkingsgrondslag valt kredietregistratie in het CKI?

3.1

De
eerste prejudiciële vraag betreft de toepasselijke verwerkingsgrondslag, het voornaamste discussiepunt in deze zaak. Deze vraag luidt als volgt:

‘1. Moet de verwerking van concrete persoonsgegevens door een kredietinstelling, door middel van een individuele registratie in het systeem van de BKR, worden getoetst aan het bepaalde in artikel 6 lid 1, aanhef en onder c, AVG, of aan artikel 6 lid 1 aanhef en onder f AVG, of aan beide bepalingen?’

3.2

Bij de bespreking van deze vraag stel ik het volgende voorop. Niet ter discussie staat dat kredietregistratie een
verwerking van persoonsgegevens in de zin van art. 4 onder 1 en 2 AVG inhoudt. Beide partijen in deze zaak gaan daarvan uit, evenals het BKR in onder meer art. 3, 9 en 14 van het CKI-reglement. In de besproken lagere rechtspraak vormt dit ook geen discussiepunt. ^[158] In de
Santander -beschikking werd een CKI-registratie ook reeds als een verwerking van persoonsgegevens in de zin van de Wbp aangemerkt. ^[159] Of
alle in het CKI geregistreerde gegevens onder de reikwijdte van de AVG vallen, ^[160] kan in het midden blijven.

3.3

Evenmin staat ter discussie dat zowel het BKR ^[161] als de kredietaanbieders (Hoist in dit geval) als
verwerkingsverantwoordelijken in de zin van art. 4 onder 7 AVG hebben te gelden. Art. 7 lid 4 van het CKI-reglement merkt de kredietaanbieders met zoveel woorden als verwerkingsverantwoordelijken aan. Ook de lagere rechtspraak gaat daarvan uit. ^[162] Aangenomen dat (naar ik begrijp) kredietaanbieders zelfstandig kredieten en kredietgegevens in het CKI registreren en zelfstandig beslissen om die gegevens in voorkomende gevallen al dan niet voor bepaalde doeleinden te raadplegen (respectievelijk te wijzigen, te verwijderen of anderszins te verwerken), kunnen de kredietnemers mijns inziens inderdaad worden aangemerkt als degenen die, tezamen met het BKR als beheerder van het CKI, ‘het doel van en de middelen voor de verwerking van persoonsgegevens’ vaststellen (in de zin van art. 4 onder 7 AVG). Hun rol lijkt, hiervan uitgaande, minder goed vergelijkbaar met die van een ‘verwerker’ als bedoeld in art. 4 onder 8 AVG, zijnde een louter administratief betrokken derde die namens en onder verantwoordelijkheid van de verwerkingsverantwoordelijke (in dit geval het BKR) persoonsgegevens verwerkt. Het voorgaande is van belang omdat art. 6 lid 1 onder c AVG vereist dat de wettelijke verplichting op de
verwerkingsverantwoordelijke rust, en het
BKR in elk geval niet wettelijk verplicht is tot kredietregistratie. ^[163]

3.4

Ter afbakening merk ik verder op dat de mogelijke toepasselijkheid van de
f-grond op gegevensverwerkingen in het CKI geen discussiepunt vormt. In alle besproken rechtspraak wordt de f-grond als een potentieel ‘vangnet’ (zo niet als enige toepasselijke verwerkingsgrondslag) voor CKI-registraties beschouwd. Dat met de registratie van kredietgegevens in het CKI ‘gerechtvaardigde belangen’ in de zin van art. 6 lid 1 onder f AVG kunnen worden gediend, staat met andere woorden buiten kijf.

3.5

Gelet op het voorgaande strekt de prejudiciële vraag ertoe te vernemen of de
c-grond toepasselijk is op kredietregistraties in het CKI. ^[164] Zo ja, dan heeft de kredietregistratie in beginsel als rechtmatig te gelden, zonder dat hiervoor (op voorhand) een belangenafweging door de betrokken kredietaanbieders is vereist. In dat geval hebben de betrokken kredietnemers ook geen recht van bezwaar en geen recht van gegevenswissing op grond van art. 17 en 21 AVG (alinea 2.36 e.v.). De kredietnemers moeten dan ‘terugvallen’ op de grondrechtelijke proportionaliteits- en subsidiariteitstoetsing als bedoeld in de
Santander -beschikking (alinea 2.5). Indien de c-grond daarentegen toepassing mist, moet de kredietregistratie op de
f-grond worden gebaseerd. Dit betekent dat elke gegevensverwerking in het CKI op een individuele belangenafweging moet berusten en dat kredietnemers ten aanzien van elke CKI-registratie bezwaar kunnen maken en gegevenswissing kunnen vragen. De feitelijke uitkomst van de beide benaderingswijzen behoeft niet te verschillen, maar duidelijk is wel dat de
juridische inkadering – en daarmee in potentie ook de uitkomst – wezenlijk verschilt (vgl. alinea 2.6).

3.6

De vraag of art. 6 lid 1 onder c AVG toepasselijk is op CKI-registraties, is niet primair een Unierechtelijke vraag, maar in de eerste plaats een vraag van uitleg van de
Nederlandse wet- en regelgeving. De vraag is of die wet- en regelgeving een op kredietaanbieders rustende verplichting tot verwerking van persoonsgegevens in het kader van een kredietregistratie behelst, en of die verplichting voldoet aan de door de AVG gestelde eisen van duidelijkheid, nauwkeurigheid en voorspelbaarheid (alinea 2.20 e.v.).

3.7

Als wettelijke grondslag voor een dergelijke verplichting komt enerzijds art. 4:32 lid 1 Wft in aanmerking (de wettelijke verplichting tot deelname aan een stelsel van kredietregistratie) en anderzijds art. 4:34 lid 1 Wft (de wettelijke zorgplicht ter voorkoming van overkreditering), zoals nader uitgewerkt in art. 114 BGfo (de verplichting om bij kredieten van meer dan € 250 het stelsel van kredietregistratie te raadplegen). Tezamen behelzen deze bepalingen een op kredietaanbieders rustende verplichting tot deelname aan en raadpleging van een stelsel van kredietregistratie (alinea 2.44 e.v.).

3.8

Mijns inziens bevatten de voornoemde bepalingen geen voldoende duidelijke, nauwkeurige en voorspelbare verplichting tot verwerking van persoonsgegevens in het kader van een kredietregistratie. Weliswaar blijkt uit de wetsgeschiedenis voldoende duidelijk
welk stelsel van kredietregistratie is bedoeld, namelijk het CKI van het BKR (alinea 2.50 e.v.), en ook met
welk doel de deelname aan en raadpleging van het CKI plaatsvinden, namelijk ten behoeve van het inwinnen van informatie over de financiële positie van de consument, zulks ter voorkoming van overkreditering (alinea 2.65). Maar met betrekking tot de vereiste
verwerking van persoonsgegevens is het wettelijk kader onvoldoende uitgewerkt, zoals ook de Autoriteit Persoonsgegevens heeft geconstateerd in haar door de minister onderschreven advies (alinea 2.70 e.v.). De Wft en het BGfo maken met name niet duidelijk
welke gegevens in het CKI geregistreerd mogen of moeten worden en onder
welke voorwaarden de gegevensverwerking in het CKI plaatsvindt. Een en ander is uitgewerkt in het CKI-reglement van het BKR. Dat is echter een contractuele regeling waarvoor geen wettelijke basis bestaat (alinea 2.66 e.v.). De parallel die Hoist trekt met private regulering op wettelijke grondslag gaat reeds daarom niet op. ^[165] Volledigheidshalve merk ik hierbij op dat het CKI-reglement ook geen gedragscode is als bedoeld in art. 40 AVG. ^[166]

3.9

In navolging van het gerechtshof Den Bosch, het gerechtshof Amsterdam en het gerechtshof Arnhem-Leeuwarden (alinea 2.80 e.v.) zou men kunnen tegenwerpen dat gegevensverwerking in het CKI
inherent is aan het wettelijke systeem en/of
noodzakelijk om te kunnen voldoen aan de wettelijke verplichting tot deelname aan en raadpleging van een stelsel van kredietregistratie. ^[167] Inderdaad hebben deelname aan en raadpleging van het CKI weinig zin, als er geen relevante en toereikende kredietgegevens in het CKI geregistreerd worden. Bovendien geldt dat het ‘raadplegen’ van het CKI, zoals in voorkomende gevallen voorgeschreven op grond van art. 114 BGfo, reeds een gegevensverwerking in de zin van art. 4 onder 2 AVG oplevert. Zo beschouwd kan men zeggen dat
enigerlei vorm van gegevensverwerking, namelijk in elk geval het registreren van sommige gegevens en in voorkomende gevallen ook het raadplegen daarvan, besloten ligt in het wettelijk voorgeschreven systeem van kredietregistratie.

3.1

Mijns inziens biedt deze benadering echter geen uitkomst, omdat zij de vervolgvraag doet rijzen
welke gegevensverwerking inherent is aan het wettelijke systeem, respectievelijk noodzakelijk om te voldoen aan de wettelijke deelname- en raadplegingsverplichting. Op díe vraag geven de Wft en het BGfo geen antwoord. Deze regelingen staan in het teken van de regulering van (het toezicht op) de financiële sector. De bijbehorende wetsgeschiedenis geeft er geen blijk van dat de wetgever in dat kader een afweging heeft gemaakt van de beoogde voorkoming van overkreditering van consumenten enerzijds en de met kredietregistratie gepaard gaande privacyaantasting bij consumenten anderzijds. ^[168] De wetgever heeft de regulering van de privacyaspecten overgelaten aan de financiële sector, die daarin heeft voorzien door middel van het CKI-reglement. Zoals gezegd heeft dat reglement niet de status van een wet in materiële zin en berust het ook niet op een wettelijke grondslag.

3.11

Gelet op het voorgaande is niet voldaan aan de door art. 6 lid 3 AVG gestelde eis van een rechtsgrond in het Unierecht of het lidstatelijke recht, en aan de desbetreffende eisen van duidelijkheid, nauwkeurigheid en voorspelbaarheid (als bedoeld in onderdeel 41 van de considerans). Voor zover toch gezegd zou kunnen worden dat een voldoende duidelijke, nauwkeurige en voorspelbare verplichting tot gegevensverwerking besloten ligt in het wettelijk voorgeschreven systeem van kredietregistratie, voldoet die verplichting mijns inziens niet aan het noodzakelijkheidsvereiste van art. 6 lid 3 (slot) AVG, te weten dat de verplichting beantwoordt aan een doelstelling van algemeen belang en evenredig is met het nagestreefde gerechtvaardigde doel. Het betreft dan immers een niet geclausuleerde, impliciete wettelijke verplichting, waaraan geen kenbare afweging van de betrokken privacyaspecten door de wetgever ten grondslag ligt.

3.12

De in art. 14 van het CKI-reglement neergelegde bewaartermijn van vijf jaren is illustratief voor het tekort aan een adequate rechtsbasis. Stel dat het CKI zou besluiten om die termijn te verdubbelen (een scenario dat praktisch uitgesloten maar juridisch mogelijk lijkt), dan zou daarmee het verwerkingsregime aanzienlijk worden verzwaard ten laste van de kredietnemers, zonder dat daaraan een keuze van de wetgever ten grondslag ligt. Voor zulke situaties, waarin met betrekking tot de concrete naleving van een wettelijke verplichting een
beoordelingsmarge bestaat (die in dit geval zelfs neerkomt op een ‘carte blanche’ voor het BKR bij de regulering van de privacyaspecten in het CKI-reglement), is de verwerkingsgrond van art. 6 lid 1 onder c AVG niet bedoeld (alinea 2.24).

3.13

Afgezien van deze principiële argumenten pleiten mijns inziens ook praktische overwegingen voor toepassing van de f-grond in plaats van de c-grond op kredietregistraties in het CKI. De grondrechtelijke status van het recht op gegevensbescherming brengt mee dat elke gegevensverwerking in het CKI (uiteindelijk) moet worden getoetst aan de beginselen van proportionaliteit en subsidiariteit als bedoeld in de
Santander -beschikking. De f-grond biedt voor die toetsing mijns inziens een logischer beoordelingskader dan de c-grond, althans zolang specifieke wet- en regelgeving omtrent de privacyaspecten van kredietregistraties ontbreekt. Bij gebreke daarvan moet de c-grond ‘casuïstisch’ worden toegepast, door van geval tot geval te onderzoeken
welke gegevensverwerking onder de gegeven omstandigheden noodzakelijk was met het oog op de nakoming van de zorgplicht ter voorkoming van overkreditering. ^[169] Daarmee dwingt het grondrechtelijke kader tot een belangenafweging die minder goed past bij de c-grond, en juist kenmerkend is voor de f-grond.

3.14

Bij het voorgaande komt dat de f-grond in de AVG is gekoppeld aan een stelsel van rechtsbescherming dat de c-grond ontbeert. Het recht van gegevenswissing (art. 17 AVG) en het recht van bezwaar (art. 21 AVG) zijn naar de letter van de verordening niet van toepassing indien de gegevensverwerking op de c-grond berust (alinea 2.36 e.v.). Ook de in art. 35 lid 2 UAVG neergelegde termijn voor het entameren van een civiele procedure mist in dat geval strikt genomen toepassing. Analoge toepassing van deze bepalingen in de context van de c-grond lijkt weliswaar niet uitgesloten (alinea 2.42), maar is uiteraard minder voor de hand liggend als de f-grond voor toepassing in aanmerking komt.

3.15

Een andere praktische complicatie die bij toepassing van de c-grond rijst, is dat zoals gezegd enkel de kredietaanbieders daarvan kunnen profiteren, en niet het BKR, omdat de zorgplicht ter voorkoming van overkreditering enkel op de kredietaanbieders rust. Hiervoor bleek al dat zowel het BKR als de kredietaanbieders verwerkingsverantwoordelijken in de zin van de AVG zijn. Ingevolge art. 26 lid 3 AVG kan de rechthebbende zijn rechten uit hoofde van de verordening met betrekking tot en jegens ieder van de verwerkingsverantwoordelijken uitoefenen. Gezien deze ‘hoofdelijke aansprakelijkheid’ van het BKR en de kredietaanbieders, lijkt de toepassing van verschillende verwerkingsgrondslagen op elk van beiden zowel systematisch als praktisch ongelukkig.

3.16

Bij dit alles merk ik nog op dat de f-grond in art. 3 lid 4 van het CKI-reglement uitdrukkelijk is aangewezen als de toepasselijke verwerkingsgrondslag en dat het BKR richtlijnen heeft uitgevaardigd voor de toepassing daarvan. ^[170] Een en ander wijst erop dat toepassing van de f-grond, die ook onder het regime van de Wbp gemeengoed was en zelfs met zoveel woorden is genoemd in de memorie van toelichting bij de Wbp (alinea 2.76), de praktijk niet voor onoverkomelijke problemen zal stellen. Hieraan doet niet af dat een wettelijke regeling van kredietregistraties, zoals aangekondigd door de wetgever (alinea 2.72), vanuit een oogpunt van praktische hanteerbaarheid uiteraard voordelen kan hebben.

3.17

Gelet op het voorgaande kom ik tot de volgende beantwoording van vraag 1. Mijns inziens moet de verwerking van persoonsgegevens door een kredietinstelling, door middel van een registratie in het CKI van het BKR, worden getoetst aan het bepaalde in artikel 6 lid 1, aanhef en
onder f , AVG. Het bepaalde in art. 6 lid 1, aanhef en onder c, AVG leent zich mijns inziens bij de huidige stand van de wet- en regelgeving niet voor toepassing op de verwerking van persoonsgegevens in het CKI van het BKR.

Vraag 2: heeft de betrokkene het recht van gegevenswissing en bezwaar?

3.18

De
tweede prejudiciële vraag stelt, voortbouwend op vraag 1, ter discussie
welke rechtsmiddelen de rechthebbende op grond van de AVG ten dienste staan in geval van kredietregistratie in het CKI van het BKR. Deze vraag luidt als volgt:

‘2. Betekent het antwoord op vraag 1

a. dat aan degene van wie de persoonsgegevens zijn geregistreerd, geen beroep toekomt op het recht van gegevenswissing als bedoeld in artikel 17 AVG?

b. dat aan diegene geen recht van bezwaar toekomt als bedoeld in artikel 21 AVG?’

3.19

Uit mijn beantwoording van de eerste vraag volgt dat het antwoord op de beide subvragen ontkennend luidt. Uitgaande van de f-grond als toepasselijke verwerkingsgrondslag, beschikt de rechthebbende over het recht van bezwaar (art. 21 lid 1 AVG) en het recht van gegevenswissing na bezwaar (art. 17 lid 1 onder c AVG). Bij toepassing van de c-grond staan deze rechtsmiddelen de rechthebbende (althans naar de letter van de AVG) niet ten dienste.

Vraag 3: welke rol speelt art. 35 UAVG?

3.2

De
derde prejudiciële vraag stelt, voortbouwend op vraag 2b, aan de orde binnen
welke termijn de rechthebbende een gerechtelijke procedure uit hoofde van bezwaar tegen een gegevensverwerking in het CKI van het BKR kan instellen. Deze vraag luidt als volgt:

‘3. Indien het antwoord op vraag 2.b. meebrengt dat bij een BKR-registratie geen recht op bezwaar als bedoeld in artikel 21 AVG bestaat, leidt dat er dan toe dat artikel 35 UAVG in de gerechtelijke procedure tot verwijdering van die registratie geen rol speelt?’

3.21

Deze vraag is gesteld voor het geval dat het antwoord op vraag 2b bevestigend luidt. Deze vraag veronderstelt, met andere woorden, dat de rechthebbende géén recht van bezwaar toekomt als bedoeld in art. 21 AVG. Uitgaande van de door mij verdedigde toepasselijkheid van de f-grond is die veronderstelling onjuist en behoeft de vraag geen beantwoording. Voor een nadere bespreking van art. 35 UAVG verwijs ik naar alinea 2.38 e.v.

4. Conclusie

De conclusie strekt tot beantwoording van de prejudiciële vragen als vermeld onder 3.17, 3.19 en 3.21.

De Procureur-Generaal bij de

Hoge Raad der Nederlanden

A-G

Voetnoten

1. Zie rov. 2.1 tot en met 2.8 van het tussenvonnis van 21 januari 2021 (ECLI:NL:RBAMS:2021:174).

2. Prod. 3 bij brief d.d. 22 december 2020 namens Hoist.

3. De voorzieningenrechter spreekt over ‘de BKR’ (doelend op de stichting). Ik spreek hierna, conform de Dikke Van Dale, over ‘het BKR’ (doelend op het bureau).

4. Prod. 1 bij inleidende dagvaarding.

5. Prod. 2 bij inleidende dagvaarding.

6. Prod. 1 bij brief d.d. 22 december 2020 namens Hoist.

7. Prod. 2 bij brief d.d. 22 december 2020 namens Hoist.

8. Rb. Amsterdam (vzr.) 21 januari 2021, ECLI:NL:RBAMS:2021:174,

9. De voorzieningenrechter vermeldt abusievelijk 8 september 2020 als datum van deze beslissing.

10. Zie nader over het

11. De voorzieningenrechter verwijst in dit verband naar C.E.F. van Waesberge,

12. Zie nader over dit reglement alinea 2.66 hierna.

13. Bij brief van 30 april 2021 heeft eisers advocaat (niet zijnde cassatieadvocaat) verwezen naar hetgeen door eiser is aangevoerd ten overstaan van de voorzieningenrechter.

14. Verordening (EU) 2016/679 van het Europees parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming),

15. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens,

16. Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens),

17. Zie over art. 8 EVRM (toegespitst op gegevensbescherming) H.R. Kranenborg en L.F.M. Verhey,

18. Zie over art. 16 VWEU en art. 8 Handvest Kranenborg en Verhey,

19. Zie onderdeel (1) van de considerans. Vgl. ook art. 1 lid 2 AVG: de AVG beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.

20. Zie MvT (Wbp),

21. HR 9 september 2011, ECLI:NL:HR:2011:BQ8097,

22. HR 9 september 2011, ECLI:NL:HR:2011:BQ8097,

23. Vgl. rov. 4.7 van het tussenvonnis van 21 januari 2021 (ECLI:NL:RBAMS:2021:174). Vgl. ook alinea’s 2.16, 2.32 en 2.42 hierna, over het belang van het onderscheid tussen de verwerkingsgronden van art. 6 lid 1 AVG.

24. Zie onderdeel (9) van de considerans: de doelstellingen en beginselen van de Richtlijn ‘blijven overeind’, maar verdere harmonisatie is nodig in verband met ‘verschillen in de uitvoering en toepassing’ ervan.

25. Zie MvT (UAVG),

26. Zie in gelijke zin de onderdelen (10) en (45) van de considerans.

27. Zie G.J. Zwenne en H.R. Kranenborg,

28. Vgl. art. 21 lid 3 Handvest: het Handvest biedt ten minste dezelfde bescherming als de ermee corresponderende EVRM-bepalingen.

29. Zie onderdeel (39) van de considerans.

30. Wet van 16 mei 2018, houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming),

31. Zie MvT (UAVG),

32. Kranenborg en Verhey,

33. De oorspronkelijke vertaling sprak van verwerking ‘ten behoeve van’ de verwerkingsverantwoordelijke. In de gerectificeerde vertaling in

34. Zie G.J. Zwenne,

35. Zie over het limitatieve karakter van art. 8 Wbp en art. 6 lid 1 AVG resp. MvT (Wbp),

36. Zie Krzysztofek,

37. Zie Krzysztofek,

38. Zie W. Kotschy, ‘Article 6: Lawfulness of Processing’, in: C. Kuner e.a. (red.),

39. Zie Kranenborg en Verhey,

40. Zie HvJEG 16 december 2008, C-524/06, ECLI:EU:C:2008:724,

41. MvT (UAVG),

42. MvT (Wbp),

43. Zie Krzysztofek,

44. Zie Kranenborg en Verhey,

45. Vgl. ook MvT (UAVG),

46. Groep gegevensbescherming artikel 29,

47. Zie Kranenborg en Verhey,

48. Zie Kranenborg en Verhey,

49. Zie onderdeel 41, eerste volzin, van de considerans. Zie ook MvT (UAVG),

50. Zie Kranenborg en Verhey,

51. MvT (UAVG),

52. Vgl. buiten de context van het gegevensbeschermingsrecht de prejudiciële vragen die het gerechtshof Den Haag bij arrest van 23 februari 2021 (ECLI:NL:GHDHA:2021:302) aan de Hoge Raad heeft gesteld over de verhouding tussen de Derde Levensrichtlijn en civielrechtelijke open normen (zaaknummer 21/00765).

53. Zie onderdeel 41, tweede volzin, van de considerans.

54. Zie onderdeel 45 van de considerans.

55. MvT (UAVG),

56. MvT (UAVG),

57. Groep gegevensbescherming artikel 29,

58. Zie Kranenborg en Verhey,

59. Zie Krzysztofek,

60. Zie Kranenborg en Verhey,

61. Zie ook onderdeel (47) van de considerans, waar een omgekeerde formulering wordt gebruikt (‘mits de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene niet zwaarder wegen’).

62. Zie onderdeel (47) van de considerans. Zie ook Kranenborg en Verhey,

63. Zie voor een inventarisatie van gezichtspunten voor de belangenafweging Groep gegevensbescherming artikel 29,

64. Zie Kranenborg en Verhey,

65. Groep gegevensbescherming artikel 29,

66. Groep gegevensbescherming artikel 29,

67. Autoriteit Persoonsgegevens,

68. Zie Kotschy, in:

69. Zie Kranenborg en Verhey,

70. Zie Kranenborg en Verhey,

71. Zie Krzysztofek,

72. Groep gegevensbescherming artikel 29,

73. Zie onderdeel (47) van de considerans.

74. Zie Kranenborg en Verhey,

75. Zie ook onderdeel (69) van de considerans.

76. Zie Kranenborg en Verhey,

77. Zie bijv. H.A.J. de Jong, G.C.J. Erents en E.Z. Fonville, ‘Kroniek AVG-jurisprudentie mei 2018-mei 2020’,

78. Zie onderdeel (69) van de considerans.

79. HR 9 september 2011, ECLI:NL:HR:2011:BQ8097,

80. Zie in gelijke zin (toegespitst op bezwaar tegen kredietregistraties) Stichting BKR,

81. Zie daarover nader Kranenborg en Verhey,

82. Zie ook onderdeel (65) van de considerans.

83. Zie Krzysztofek,

84. MvT (Wbp),

85. Vgl. Hof Arnhem-Leeuwarden 23 februari 2021, ECLI:NL:GHARL:2021:1679,

86. Zie in gelijke zin C.E.F. van Waesberge,

87. Zie ook onderdeel (59) van de considerans.

88. Zie MvT (UAVG),

89. Zie rov. 4.1 en 4.9 van het tussenvonnis van 21 januari 2021 (ECLI:NL:RBAMS:2021:174).

90. Zie Rb. Den Haag (vzr.) 28 februari 2019, ECLI:NL:RBDHA:2019:1988, rov. 4.5; Rb. Amsterdam (vzr.) 17 september 2019, ECLI:NL:RBAMS:2019:6817, rov. 4.4; Hof Amsterdam 5 november 2019, ECLI:NL:GHAMS:2019:3966, rov. 3.4.5; Hof Arnhem-Leeuwarden 7 januari 2020, ECLI:NL:GHARL:2020:126, rov. 5.8; Rb. Rotterdam 14 januari 2020, ECLI:NL:RBROT:2020:293, rov. 4.2; Rb. Oost-Brabant 7 mei 2020, ECLI:NL:RBOBR:2020:2534, rov. 4.4 e.v.; Hof Amsterdam 2 februari 2021, ECLI:NL:GHAMS:2021:312, rov. 4.8; Rb. Amsterdam (vzr.) 9 februari 2021, ECLI:NL:RBAMS:2021:405, rov. 4.9.

91. Hof Amsterdam 5 november 2019, ECLI:NL:GHAMS:2019:3966, rov. 3.4.4-3.4.6. Zie in gelijke zin Hof Arnhem-Leeuwarden 7 januari 2020, ECLI:NL:GHARL:2020:126, rov. 5.8; Hof Amsterdam 2 februari 2021, ECLI:NL:GHAMS:2021:312, rov. 4.8; Rb. Amsterdam (vzr.) 9 februari 2021, ECLI:NL:RBAMS:2021:405, rov. 4.8.

92. Vgl. Rb. Den Haag 27 november 2020, ECLI:NL:RBDHA:2020:12154, waarin hierover prejudiciële vragen aan het HvJEU werden aangekondigd (die blijkens de kop op rechtspraak.nl niet zijn gesteld).

93. Zie ook de bijbehorende annotatie van C.E.F. van Waesberge in

94. Zie in die zin D.S. Volleberg,

95. Zie C.E.F. van Waesberge,

96. Wet van 28 september 2006, houdende regels met betrekking tot de financiële markten en het toezicht daarop (Wet op het financieel toezicht),

97. Wet van 4 juli 1990, houdende regels met betrekking tot het consumentenkrediet (Wet consumentenkrediet),

98. Wet van 12 mei 2005, houdende regels voor de financiële dienstverlening (Wet financiële dienstverlening),

99. Besluit van 12 oktober 2006, houdende regels met betrekking tot het gedragstoezicht op financiële ondernemingen (Besluit Gedragstoezicht financiële ondernemingen Wft),

100. Richtlijn 2008/48/EG van het Europees Parlement en de Raad van 23 april 2008 inzake kredietovereenkomsten voor consumenten en tot intrekking van Richtlijn 87/102/EEG van de Raad,

101. Vgl. ook onderdeel (28) van de considerans: ‘Om de krediettoestand van een consument te beoordelen, dient de kredietgever ook de relevante gegevensbestanden te raadplegen.’

102. Richtlijn 2014/17/ЕU van het Europees Parlement en de Raad van 4 februari 2014 inzake kredietovereenkomsten voor consumenten met betrekking tot voor bewoning bestemde onroerende goederen en tot wijziging van de Richtlijnen 2008/48/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010,

103. In de wetsgeschiedenis worden het BKR en het door haar aangeboden stelsel (het CKI) vereenzelvigd.

104. MvT (Wck),

105. Idem, p. 27.

106. Idem, p. 50.

107. Idem, p. 82.

108. MvA (Wck),

109. Idem, p. 11.

110. Nota n.a.v. verslag (Wck),

111. MvT (Wfd),

112. Idem, p. 96-97.

113. Idem, p. 97.

114. Concept-Besluit Financiële dienstverlening (Bfd),

115. Brief minister van Financiën d.d. 7 november 2005 (Wfd),

116. Vierde NvW (Wft),

117. Idem, p. 524.

118. Nota n.a.v. vijfde nader verslag (Wft),

119. Besluit gedragstoezicht financiële ondernemingen Wft,

120. NvT (BGfo),

121. Idem, p. 267.

122. MvT (Implementatie Richtlijn consumentenkrediet),

123. Idem, p. 33.

124. Idem, p. 35.

125. Nota n.a.v. verslag (Implementatie Richtlijn consumentenkrediet),

126. Brief minister van Financiën d.d. 8 februari 2011 (Implementatie Richtlijn consumentenkrediet),

127. Idem, p. 2-3.

128. Vgl. M.H.P. Claassen en J.L. Snijders, ‘De registratie van kredieten’,

129. Zie nader over deze doelstelling bijv. MvT (Wfd),

130. Stichting BKR,

131. Vgl. J.M. van Poelgeest,

132. Zie over deze tweeledige doelstelling ook Stichting BKR,

133. AP,

134. Idem, p. 2.

135. Idem, p. 3.

136. Brief minister van Financiën d.d. 12 december 2019 (Verwerking en bescherming persoonsgegevens),

137. Brief minister van Financiën d.d. 27 oktober 2020 (Toekomst financiële sector),

138. Vragen van het lid Wörsdörfer (VVD) aan de Minister van Sociale Zaken en Werkgelegenheid over de toezeggingen in gesprek te gaan met het Bureau Kredietregistratie (ingezonden 12 maart 2021). Antwoord van Minister Koolmees (Sociale Zaken en Werkgelegenheid), mede namens de Minister van Financiën (ontvangen 30 april 2021),

139. Idem, p. 1-2.

140. Idem, p. 2.

141. Zie art. 49j lid 1 Algemene wet inkomensafhankelijke regelingen, voorgesteld bij Amendement d.d. 10 februari 2021 (Incidentele suppletoire begroting inzake Herstel Toeslagen),

142. MvT (Wbp),

143. Vgl. J.M. van Poelgeest,

144. Aldus ook C.E.F. van Waesberge,

145. Zie Rb. Zeeland-West-Brabant 2 april 2019, ECLI:NL:RBZWB:2019:1336, rov. 3.7; Rb. Amsterdam 9 mei 2019, ECLI:NL:RBAMS:2019:3857,

146. Zie Rb. Zeeland-West-Brabant 21 oktober 2019, ECLI:NL:RBZWB:2019:4846, rov. 3.16; Hof Arnhem-Leeuwarden 3 december 2019, ECLI:NL:GHARL:2019:10345, rov. 4.8; Rb. Den Haag 13 december 2019, ECLI:NL:RBDHA:2019:13444, rov. 4.15; Rb. Zeeland-West-Brabant 16 december 2019, ECLI:NL:RBZWB:2019:5681, rov. 3.16; Rb. Midden-Nederland 17 juni 2020, ECLI:NL:RBMNE:2020:2232, rov. 2.5; Hof Den Bosch 6 augustus 2020, ECLI:NL:GHSHE:2020:2536,

147. Hof Den Bosch 6 augustus 2020, ECLI:NL:GHSHE:2020:2536,

148. Hof Den Haag 8 september 2020, ECLI:NL:GHDHA:2020:1569,

149. Hof Den Haag 10 november 2020, ECLI:NL:GHDHA:2020:2068, rov. 3.6-3.7 en 3.11.

150. Hof Den Haag 24 september 2019, ECLI:NL:GHDHA:2019:2458,

151. Hof Amsterdam 9 februari 2021, ECLI:NL:GHAMS:2021:459, rov. 3.8-3.10, 3.11 e.v. en 3.17 e.v.

152. Hof Amsterdam 16 februari 2021, ECLI:NL:GHAMS:2021:499, rov. 3.7. Zie voor het vervolg Hof Amsterdam 11 mei 2021, ECLI:NL:GHAMS:2021:1367 (waarin het hof vasthoudt aan zijn beslissing tot aanhouding).

153. Hof Arnhem-Leeuwarden 17 december 2020, ECLI:NL:GHARL:2020:10564,

154. Hof Arnhem-Leeuwarden 3 december 2019, ECLI:NL:GHARL:2019:10345,

155. Hof Arnhem-Leeuwarden 14 januari 2020, ECLI:NL:GHARL:2020:263, rov. 4.7.

156. Hof Arnhem-Leeuwarden 23 februari 2021, ECLI:NL:GHARL:2021:1679,

157. Zie bijv. Rb. Den Haag 7 maart 2019, ECLI:NL:RBDHA:2019:4323,

158. Zie bijv. Hof Amsterdam 9 februari 2021, ECLI:NL:GHAMS:2021:459, rov. 3.7.

159. Zie HR 9 september 2011, ECLI:NL:HR:2011:BQ8097,

160. Vgl. Stichting BKR,

161. Vgl. over de positie van het BKR als verwerkingsverantwoordelijke Stichting BKR,

162. Zie bijv. Rb. Amsterdam 29 mei 2019, ECLI:NL:RBAMS:2019:3857,

163. Vgl. AP,

164. Vgl. rov. 4.2 van het tussenvonnis van de voorzieningenrechter.

165. Zie nr. 1.8 e.v. van de schriftelijke opmerkingen namens Hoist, onder verwijzing naar ABRvS 12 juni 2019, ECLI:NL:RVS:2019:1885,

166. Art. 40 AVG voorziet in de mogelijkheid dat brancheorganisaties gedragscodes opstellen teneinde de toepassing van de verordening ‘nader toe te lichten’ (lid 2). Deze gedragscodes moeten worden goedgekeurd door de toezichthoudende autoriteit (lid 5), in Nederland de AP.

167. Vgl. nrs. 1.23 e.v. van de schriftelijke opmerkingen namens Hoist.

168. Afgezien van de in alinea 2.55 geciteerde passage uit de MvT bij de Wfd (waar zijdelings wordt gewezen op het belang van ‘een zo groot mogelijke bescherming van de persoonlijke levenssfeer’) heb ik in de wetsgeschiedenis geen verwijzingen naar privacyaspecten aangetroffen.

169. Zie voor een dergelijke toetsing bijv. Rb. Zeeland-West-Brabant 16 december 2019, ECLI:NL:RBZWB:2019:5681, rov. 3.16.

170. Stichting BKR,