Antwoord schriftelijke vragen : Antwoord op vragen van de leden Leijten en Van Nispen over de weigering van bedrijven op basis van geautomatiseerde kredietchecks

Antwoord van Minister Weerwind (Rechtsbescherming), mede namens de Staatssecretaris
van Binnenlandse Zaken en Koninkrijksrelaties (ontvangen 31 mei 2022).

Vraag 1

Vindt u het wenselijk dat bedrijven geautomatiseerde kredietchecks uitvoeren, waarbij
veel privacygevoelige data wordt verzameld en bewaard? Welke wettelijke grondslag
voor verzameling en bezwaren van die persoonsgegevens bestaat er?

Antwoord 1

Laat ik beginnen door te zeggen dat ik de situatie waarin de betreffende persoon uit
het krantenartikel terecht is gekomen, zeer betreur. Dit laat zien dat automatische
kredietchecks impact kunnen hebben op burgers. Uit het krantenartikel maak ik op dat
er een klacht is ingediend bij de Autoriteit Persoonsgegevens (AP), het is aan de
AP om te bepalen of zij een onderzoek naar deze praktijk instelt.

Met een kredietcheck kunnen bedrijven inzicht verkrijgen in hoeverre potentiële nieuwe
klanten (bedrijven of consumenten) aan hun betalingsverplichtingen kunnen voldoen.
Dat is niet alleen van belang voor de bedrijven die de kredietcheck afnemen: burgers
kunnen er ook mee worden beschermd tegen financiële problemen. In sommige gevallen
schrijft de wet kredietchecks ook voor. Bij kredietverstrekking zijn kredietaanbieders
wettelijk verplicht om een stelsel van kredietregistratie te raadplegen over reeds
aan de consument verleende kredieten om zo overkreditering tegen te gaan.1

Kredietchecks vinden steeds vaker op geautomatiseerde wijze plaats omdat dit efficiënter
is dan handmatige controles. Denk bijvoorbeeld aan kredietbeoordelingen bij het afsluiten
van een energiecontract, telefoonabonnement of in het voorbeeld dat in het bewuste
krantenartikel2 wordt genoemd, een Dal Vrij-abonnement. De impact van geautomatiseerde kredietchecks
op mensen kan zoals gezegd groot zijn. Hierbij is het natuurlijk van belang dat de
met de kredietcheck gemoeide verwerking van persoonsgegevens rechtmatig plaatsvindt.
Ingevolge de Algemene Verordening Gegevensbescherming (AVG) betekent dit onder meer
dat gegevens op een rechtmatige, behoorlijke en transparante wijze worden verwerkt3, dat er niet meer gegevens worden verwerkt dan noodzakelijk om het doel van de verwerking
te bereiken4 en dat de verwerkte gegevens «juist» zijn.5 Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk,
moet de verwerkingsverantwoordelijke ook termijnen vaststellen voor het wissen van
gegevens of voor een periodieke toetsing ervan.6 Verder dient de verwerking op één van de zes rechtsgronden uit artikel 6 AVG te worden
gebaseerd. Dit laatste impliceert dat de verwerking ook gebaseerd kan zijn op de toestemming
van betrokkenen, of op het gerechtvaardigd belang7, en niet per definitie op een in de wet vastgelegde grondslag zoals bedoeld in artikel
6 eerste lid onder de AVG. Partijen die kredietchecks uitvoeren baseren de daarmee
gemoeide verwerking van persoonsgegevens doorgaans op het in artikel 6 eerste lid
onder f AVG vastgelegde «gerechtvaardigd belang».

Het is echter niet in algemene zin vast te stellen op welke grondslag(en) de verwerkingen
in het kader van het aanbieden van kredietchecks zijn gebaseerd, maar ik wil wel benadrukken
dat het ongelimiteerd opslaan van gegevens van burgers teneinde hen te kunnen controleren
zich slecht verhoudt tot voornoemde principes, als mede specifiek tot het principe
van «opslagbeperking» welke voorschrijft dat persoonsgegevens niet langer mogen worden
bewaard dan nodig om de doeleinden van een verwerking te bereiken.8

Vraag 2 en 3

Erkent u dat de gevolgen van geautomatiseerde kredietchecks voor mensen ingrijpend
kunnen zijn? Zo ja, kunt u aangeven hoe de verplichte menselijke interventie die volgt
uit de Algemene Verordening Gegevensbescherming (AVG) in de praktijk wordt vormgegeven?9

Kunt u aangeven welke minimale uitvoeringspraktijk bestaat voor de verplichte menselijke
interventie volgend uit de AVG en hoe het toezicht daarop is vormgegeven?

Antwoord 2 en 3

Ja. Het door de leden van uw Kamer aangehaalde bericht onderstreept dit nog maar eens.

Alvorens over te gaan tot de verzochte juridische informatie hecht ik er waarde aan
te benadrukken dat, ook wanneer wetgeving (zoals de AVG) menselijke interventie of
tussenkomst niet expliciet verplicht stelt, het alsnog verstandig kan zijn voor een
organisatie om een vorm van menselijke tussenkomst of controle in te richten om te
voorkomen dat er fouten worden gemaakt (en de AVG alsnog wordt overtreden). Dat is
niet alleen in het belang van de betrokken klant of burger, maar ook in het belang
van de organisatie zelf: als je geen goed zicht hebt op hoe je (geautomatiseerde)
systemen werken en daarbij procedures inricht om fouten te corrigeren is het wachten
tot er iets misgaat en je schade veroorzaakt met alle gevolgen van dien.

Wat betreft de verplichte menselijke interventie in de AVG is het goed te benadrukken
dat er niet in alle gevallen expliciet een recht op menselijke interventie of tussenkomst
uit de AVG voortvloeit. Hierover kan het volgende verder worden opgemerkt: alleen
uitsluitend op geautomatiseerde verwerkingen, waaronder profilering, gebaseerde besluiten
waaraan voor een burger rechtsgevolgen zijn verbonden of die de burger anderszins
in aanmerkelijke mate treffen, zijn verboden onder artikel 22 van de AVG. Een niet
volledig geautomatiseerd besluit – bijvoorbeeld omdat er betekenisvolle menselijke
tussenkomst in het proces is ingebouwd – valt dus niet onder dit verbod. De WP-29
werkgroep – de voorloper van de European Data Protection Board – geeft in haar normuitleg bijzonder helder aan dat deze tussenkomst geen formaliteit
is:

Om daadwerkelijke menselijke tussenkomst te realiseren moet de verwerkingsverantwoordelijke
ervoor zorgen dat al het toezicht op de besluitvorming zinvol is, en niet slechts
een symbolische handeling vormt. Deze tussenkomst moet worden uitgevoerd door iemand
die bevoegd en bekwaam is om het besluit te veranderen. Hij moet alle relevante gegevens
in zijn analyse betrekken.10

Dit laat onverlet dat het tweede lid van artikel 22 ook een aantal uitzonderingsgronden
formuleert die geautomatiseerde besluiten – dus zonder menselijke interventie – wél
mogelijk maken. Het derde lid van artikel 22 AVG bepaalt vervolgens dat er in geval
gebruik gemaakt wordt van uitzonderingsgronden berustend op «toestemming» respectievelijk
een «overeenkomst» van of met betrokkene er een recht op menselijke tussenkomst bestaat.
Uit de geschetste casus is niet op te maken dat de NS zich beroept op één van deze
uitzonderingsgronden.

Als laatste verdient opmerking dat een besluit op basis van incorrecte persoonsgegevens
per definitie niet rechtmatig kan zijn omdat dit zich niet verhoudt tot het principe
van «juistheid van gegevens» uit artikel 5 eerste lid onder de AVG. De WP-29 werkgroep
heeft in dit kader benadrukt dat de verwerkingsverantwoordelijke erop toe moet zien
dat gegevens in alle stadia van een verwerkingsproces juist zijn. Dit omvat expliciet
zowel het opstellen van een profiel als het toepassen daarvan, juist omdat foute gegevens
zullen leiden tot onjuiste en vaak onrechtmatige besluiten.11

Het toezicht op de verwerking van persoonsgegevens, en daarmee ook de eventuele menselijke
interventie die al dan niet verplicht plaatsvindt, is belegd bij de Autoriteit Persoonsgegevens
(AP). De AP heeft in haar «Focus AP 2020–2023» aangeven dat datahandel één van haar
drie focusgebieden is; profilering is één van de subonderdelen van dit focusgebied.12

Vraag 4 en 5

Kunt u aangeven wie verantwoordelijk is voor het herstellen danwel verwijderen van
foutieve data als er geautomatiseerde besluiten op basis van algoritmes worden genomen?
Kunt uw antwoord toelichten?

Kunt u aangeven welke verantwoordelijkheid rust op de aanbieder van de dienst of het
product waarbij een dergelijke kredietcheck wordt uitgevoerd als het gaat om foutieve
data en welke verantwoordelijkheid rust op de aanbieder van zulke kredietchecks?

Antwoord 4 en 5

Voor het herstellen dan wel verwijderen van foutieve gegevens is dit de «verwerkingsverantwoordelijke»,
oftewel de partij die het doel en de middelen van een verwerking vaststelt.13 Doorgaans – zonder de specifieke aspecten van de casus uit het bericht te kennen
en derhalve volledig te kunnen beoordelen – is het in casuïstiek als deze het geval
dat er meerdere zelfstandige verwerkingsverantwoordelijken zijn: twee partijen verwerken
gegevens voor hun eigen respectievelijke doelen. Er is dan een verwerkingsverantwoordelijke
partij die gegevens verzamelt en op basis daarvan profileert en een «score» toekent
(de aanbieder van de check), en een partij die dergelijke scores (een persoonsgegeven)
afneemt en op basis daarvan besluiten neemt en die aan betrokkenen terugkoppelt (de
aanbieder van het product). Anderzijds kan er ook sprake zijn van een situatie waarin
twee partijen gezamenlijk het doel en de middelen van een verwerking vaststellen,
zij zijn dan «gezamenlijk verwerkingsverantwoordelijk».14 In dit laatste geval moeten de partijen afspraken maken over de uitvoering van de
verschillende rechten en plichten, als mede een contactpunt voor betrokkenen vastleggen.

Iedere (gezamenlijke of individuele) verwerkingsverantwoordelijke moet aan de op hem
rustende verplichtingen voldoen, dit omvat zoals uitgebreider toegelicht ook dat de
verwerkte gegevens «juist» en dus niet foutief mogen zijn.15 Daarbij komt dat – teneinde een behoorlijk en rechtmatige verwerking te borgen –
partijen die profilering toepassen ook worden geacht de juiste wiskundige en statistische
procedures te hanteren om tot resultaten te komen, als ook technische en organisatorische
maatregelen nemen om het risico op fouten te minimaliseren, en daarmee de risico’s
voor de belangen en rechten van betrokkenen (zoals bijv. discriminerende verwerkingen)
te mitigeren.16

Dat de aanbieder van de kredietcheck in bepaalde gevallen wellicht een «verwerker»
is – een partij die in opdracht van de verwerkingsverantwoordelijke een verwerking
uitvoert – ten opzichte van de aanbieder van de dienst, doet niet af aan de eigenstandige
verantwoordelijkheid van de aanbieder van kredietchecks om ervoor te zorgen dat de
eigen persoonsgegevens rechtmatig, behoorlijk en transparant worden verwerkt.

Als laatste verdient opmerking dat bedrijven die kredietwaardigheidschecks uitvoeren
gegevens in sommige gevallen halen uit algemeen toegankelijke registers van de overheid,
zoals de Kamer van Koophandel en het Kadaster. Als daarin fouten staan, kan de betrokkene
bij de desbetreffende partij de gegevens laten rectificeren. Voor situaties waar het
laten corrigeren van een gegeven bij overheidsregistraties problemen oplevert, is
in 2021 een Meldpunt Fouten in Overheidsregistraties (MFO) van start gegaan dat de
burger daarin kan ondersteunen.17

Vraag 6

Hoe verhoudt het aanbod van een geautomatiseerd rapport over kredietwaardigheid van
mensen zich tot het principe dat volgt uit de AVG dat er menselijke interventie moet
zijn? Vindt u dit zorgvuldig als dit binnen «enkele seconden» gebeurt?18 Kunt u uw antwoord toelichten?

Antwoord 6

In algemene zin geldt, ook gelet op de antwoorden op vragen 2 en 3, dat menselijke
interventie niet altijd geboden is, maar dat als dit wel het geval is dit wel «zinvol»
moet zijn. De snelheid waarmee een geautomatiseerde kredietcheck wordt uitgevoerd
hoeft geen invloed te hebben op de zorgvuldigheid ervan. Een goed ontworpen en rechtmatig
functionerend systeem kan soms snelle doch zorgvuldige beslissingen nemen.

Vraag 7

Vindt u het begrijpelijk waar mensen terecht kunnen als zij ten onrechte worden uitgesloten
van het verkrijgen van een dienst of product door een kredietcheck die gebaseerd is
op foutieve data? Bent u bereid dit te verbeteren? Zo ja, hoe?

Antwoord 7

Als alle partijen zich aan de wet houden – specifiek ook de gegevensbeschermingswetgeving
die in deze beantwoording aan de orde komt – is dit wat mij betreft voldoende duidelijk.
In dat geval kan de burger namelijk de verwerkingsverantwoordelijke aanspreken. Als
partijen zich niet aan de wet houden, en bijvoorbeeld geen inzage willen bieden in
verwerkte persoonsgegevens of foutieve gegevens willen corrigeren (zie ook antwoord
op vraag 9) kan een klacht worden ingediend bij de AP.

Vraag 8

Wie beheert en houdt toezicht op signaleringslijsten?19

Antwoord 8

De opsteller van een (signalerings-) lijst beheert deze lijst. Voor zover een lijst
persoonsgegevens bevat, is de AP bevoegd om toezicht te houden op naleving van de
wetgeving betreffende de bescherming van persoonsgegevens.

Vraag 9

Bent u het ermee eens dat het voor mensen makkelijker zou moeten zijn om foutieve
data zelf aan te kunnen passen? Zo ja, wat gaat u hierop concreet ondernemen? Zo nee,
waarom niet?

Antwoord 9

Deze verantwoordelijkheid ligt ingevolge het systeem van de AVG bij de verwerkingsverantwoordelijke.
Dat vind ik in beginsel ook goed: organisaties moeten de verantwoordelijkheid hebben
om goed met onze gegevens om te gaan en er daarbij zorg voor te dragen dat deze correct
zijn.

Wél ben ik er groot voorstander van, en dit vloeit gelukkig ook voort uit de AVG,
dat organisaties transparant zijn over de gegevens die zij van burgers verwerken en
voor welke doeleinden. Alleen in die gevallen weten burgers immers waar ze aan toe
zijn. Daarbij zijn ook de rechten die de AVG burgers geeft van bijzonder belang: niet
alleen kunnen burgers inzage vorderen in de gegevens die een organisatie over hen
verwerkt20, ze kunnen ook eisen dat er rectificatie plaatsvindt en dat foutieve gegevens dus
worden gecorrigeerd.21 Deze verplichting wordt niet alleen bij de betrokkene neergelegd: artikel 12 tweede
lid bepaalt dat de verwerkingsverantwoordelijke de uitoefening van de AVG-rechten
moet faciliteren. Dat impliceert dat een vorm van proactief handelen van verwerkingsverantwoordelijken
vereist is om aan de wet te voldoen. De Autoriteit Persoonsgegevens houdt hier toezicht
op. Betrokkenen kunnen een klacht indienen bij de AP als de AVG wordt overtreden.
Blijkens het door u aangehaalde krantenartikel heeft de betrokkene uit voorliggende
casus zo’n klacht ingediend.

Dat laat onverlet dat ik goed begrijp dat het niet altijd even makkelijk is voor elke
burger om goed te begrijpen waar je aan kan kloppen om gegevens te laten verwijderen,
en hoe je dat aanpakt. De Autoriteit Persoonsgegevens geeft daarom op haar website
goede uitleg over onder meer het recht op rectificatie en heeft ook een voorbeeldbrief
geplaatst welke burgers kunnen gebruiken om foutieve data aan te laten passen.22

Al met al ben ik van mening dat de rechten die burgers hebben onder de AVG ons echt
helpen om de controle over onze gegevens te behouden. We moeten er alleen middels
goede voorlichting en praktische hulpmiddelen voor zorgen dat deze rechten in de praktijk
effectief werken. Daarbij kan het ook bijzonder helpen als organisaties hun transparantiebeleid
modern vormgeven en systemen ontwikkelen waarbij betrokkenen makkelijk inzicht kan
worden gegeven in de over hen verzamelde gegevens. Dit vloeit ook voort uit eerdergenoemde
verplichting voor de verwerkingsverantwoordelijke om de uitoefening van AVG-rechten
te faciliteren.

Het is in ieder geval zaak dat de overheid zelf het goede voorbeeld geeft in het faciliteren
van deze controle. In het programma Regie op Gegevens is daarom aandacht voor het
makkelijker rectificeren van gegevens. Ook (digitale) inzage in eigen persoonsgegevens
bij de overheid en uitleg over het hergebruik van persoonsgegevens uit overheidsregistraties
zijn binnen dit programma belangrijke aandachtspunten. Daarbij laat het kabinet momenteel
door het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) onderzoek verrichten
naar de naleving van de AVG door de overheid.

Vraag 10

In hoeverre houdt de Autoriteit Persoonsgegevens op dit moment toezicht op het gebruik
van geautomatiseerde kredietchecks? Zijn zij volgens u hiertoe op dit moment voldoende
in staat?

Antwoord 10

De AP houdt toezicht op de verwerking van persoonsgegevens en daarmee ook op dergelijke
kredietchecks. Ik acht de AP hiertoe goed in staat, mede omdat het budget van de AP
recent wederom is verhoogd, met een oplopende reeks naar structureel 8 miljoen extra
vanaf 2025.