In de rechtszaak draait het om een man die enkele achterstandscoderingen heeft bij het BKR. Zijn verzoek tot verwijdering is afgewezen met de mededeling dat de kredietverstrekkers dat moeten behandelen; het BKR claimt slechts verantwoordelijk te zijn voor de juiste verwerking van de gegevens die zij aandragen.
Zorgplicht versus privacy
Het hof, wiens uitspraak al begin juni is gedaan, legt voor zijn oordeel de koppeling met de Wft - die uit het oogpunt van de zorgplicht voor kredieten boven de 250 euro raadpleging van het BKR-systeem verplicht - en de privacywet AVG. Het BKR is de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens in het door het BKR beheerde Centraal Kredietinformatiesysteem (CKI).
"Zoals uit de AVG blijkt, rust op de verwerkingsverantwoordelijke de verplichting om een bezwaar van een betrokkene in behandeling te nemen en de verwerking te staken, tenzij aan een van de uitzonderingsgronden voldaan", aldus het hof. Bovendien moet de verwerkingsverantwoordelijke ook de uitoefening van de rechten van betrokkenen faciliteren. "Uit de hiervoor aangehaalde artikelen volgt dan ook dat BKR als verwerkingsverantwoordelijke is gehouden om een bezwaar van een betrokkene en een daaruit voortvloeiend verwijderingsverzoek in behandeling te nemen."
Afzonderlijk verantwoordelijk
Het BKR had nog aangevoerd dat het een beperkte uitvoerende verantwoordelijkheid heeft en alleen volledigheid, accuraatheid en beschikbaarheid van de kredietgegevens heeft te waarborgen. Of de verwerking van de persoonsgegevens rechtmatig is, hoeft niet te worden getoetst, zo was het verweer. Maar het hof oordeelt anders: "BKR en de kredietaanbieders zijn ieder afzonderlijk verantwoordelijk voor het geheel van de verwerking van persoonsgegevens in het CKI en dus de registratie van achterstands- en bijzonderheidscoderingen. De kredietaanbieders hebben onderling afgesproken dat zij een deel van hun taken, namelijk het beheer van het stelsel van kredietregistratie in het CKI, bij BKR onderbrengen. De kredietaanbieders beoordelen bij het verstrekken en verhogen van kredieten de kredietwaardigheid van consumenten. Dit ontslaat de kredietaanbieders en BKR echter niet van de verantwoordelijkheid die zij ieder voor zich hebben voor een juiste en accurate verwerking van persoonsgegevens in het CKI. Bij deze constructie kan ook niet worden gezegd dat sprake is van bewerkingen die eerder in de verwerkingsketen plaatsvinden en waarvan BKR niet (mede) het doel en de middelen vaststelt."
BKR moet zelf informatie inwinnen
Een consument die een bezwaar heeft tegen zijn BKR-registratie kan daarom aankloppen bij iedere verwerkingsverantwoordelijke, dus ook het BKR. Het bureau moet dan informatie inwinnen bij de kredietaanbieders en zelf een beslissing nemen over het al dan niet verwijderen van de registratie. "Hiertoe is zij als verwerkingsverantwoordelijke tegenover de betrokkene verplicht. Dat het opvragen van de informatie over de betrokkene bij de kredietaanbieder een extra handeling van BKR vereist, mag niet aan een betrokkene zoals [de consument] worden tegengeworpen. Ook is niet van belang dat de kredietaanbieders de nodige expertise en ervaring hebben, omdat de kredietaanbieders deze expertise en ervaring met BKR kunnen delen."
Belang klant weegt zwaarder
In de zaak waar het hof uitspraak in deed, kon de man vanwege onder meer bijzonderheidscoderingen voor kredieten bij ICS, ABN Amro en Santander - met einddata in 2019 - niet het door hem gewenste tiny house kopen. Dat kan nu wel, want het BKR had zich bij het gerechtshof niet inhoudelijk verweerd, maar alleen gesteld geen beslissing te mogen nemen. Het hof neemt daarom het oordeel van de rechter over: de coderingen moeten worden geschrapt. De rechtbank had eerder bepaald dat het belang van de klant zwaarder weegt dan het belang van de geldverstrekkers.
