AP gaf kredietverzamelaar Experian boete en sancties na overtreden privacywet

De Nederlandse privacytoezichthouder Autoriteit Persoonsgegevens heeft vorig jaar een boete en sancties uitgedeeld aan Experian. Het Ierse bedrijf, dat een van de grootste bureaus voor kredietinformatie en datahandel ter wereld is, overtrad de AVG.

De zaak werd gesignaleerd door het Financieel Dagblad, dat op een geanonimiseerd vonnis van de rechtbank in Den Haag stuitte. Experian zet databanken met kredietinformatie op, die het vervolgens verkoopt aan bijvoorbeeld incassobureaus of telecomaanbieders. Volgens de AP heeft Experian echter geen 'gerechtvaardigd belang' om persoonsgegevens te verwerken. Ook worden personen van wie de gegevens worden verwerkt niet of onjuist geïnformeerd.

Hoe hoog de boete van de AP precies is, is niet bekend. De voorzieningenrechter in Den Haag oordeelde in mei dat het boetebedrag niet openbaar mag worden, totdat Experian alle mogelijkheden om de boete aan te vechten heeft uitgeput. Het gebeurt vaker dat boetes van de Autoriteit Persoonsgegevens niet gepubliceerd worden of dat er informatie wordt geanonimiseerd omdat het bedrijf of de overheid in kwestie daarom vraagt bij de rechtbank.

Het Financieel Dagblad heeft het over een miljoenenboete en 'een van de hoogste boetes die de AP ooit heeft uitgedeeld', maar het is niet duidelijk waarop dat is gebaseerd. Experian bevestigt in zijn jaarverslag dat het rekening houdt met een boete die 'tot vier procent van de wereldwijde omzet' kan bedragen. Dat cijfer is echter het maximale boetebedrag dat privacytoezichthouders onder de AVG kunnen opleggen. Hoe hoog de boete in werkelijkheid wordt, is dus niet duidelijk. In 2023 was Experians wereldwijde omzet ruim zeven miljard dollar. Naast de boete moet Experian in Nederland stoppen met het verzamelen van persoonsgegevens van miljoenen consumenten, op straffe van een dwangsom.

Experian noemt de boete en dwangsom 'afschrikwekkend' en 'juridisch fout', zegt het FD. Het bedrijf vecht de beslissing van de AP dan ook aan. In zijn jaarverslag zegt Experian verder dat het standpunt van de Autoriteit Persoonsgegevens 'haaks staat op de officiële beleidslijnen in onze andere Europese markten' en dat de rest van Europa wel erkent dat het bedrijf een 'gerechtvaardigd belang' heeft om kredietinformatie te verwerken.

Ruzie over commerciële belangen

Experian beroept zich voor het verwerken van persoonsgegevens op het zogenaamd gerechtvaardigd belang, een van de zes grondslagen waarop bedrijven onder de AVG persoonsgegevens mogen verwerken. Er is al jaren veel discussie over die grondslag. Die gaat met name om de vraag of een puur commercieel belang ook 'gerechtvaardigd' kan zijn: met andere woorden, of het verzamelen van gegevens voor winst gerechtvaardigd is.

De Autoriteit Persoonsgegevens hield jarenlang vol dat dat niet kon. Commerciële belangen zijn nooit gerechtvaardigd, concludeerde de toezichthouder in het verleden stellig. Dat gebeurde onder andere in een boete voor de Knltb, waar juristen destijds al verbaasd op reageerden. Experts stellen dat de AP de AVG vaak streng interpreteert. Onlangs kreeg de AP daarover het deksel op de neus van het Europees Hof van Justitie. Dat stelde dat de AP met die uitspraken veel te streng is; commerciële belangen kunnen wel degelijk rechtvaardig zijn. De AP kan dat niet zo in zijn algemeenheid zeggen, maar moet het feit per individuele zaak bekijken.

Die uitspraak van het Hof vond eerder deze maand plaats. De boete voor Experian is van ver voor die tijd. Het is dan ook niet ondenkbaar dat die is gebaseerd op verouderde feiten.

IT-banen

Reacties (62)

jochemd 31 oktober 2024 14:33

De AP heeft de afgelopen tijd weleenswaar een paar mis geschoten, maar inhoudelijk staat buiten kijf dat het business model van Experian de AVG overtreedt. Het Europees Hof heeft namelijk op 7 december 2023 de volgende uitspraak al gedaan:

Artikel 22, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

moet aldus worden uitgelegd dat

er sprake is van „geautomatiseerde individuele besluitvorming” in de zin van deze bepaling wanneer een waarschijnlijkheidswaarde die op persoonsgegevens van een persoon is gebaseerd en betrekking heeft op diens vermogen om in de toekomst betalingsverplichtingen na te komen, geautomatiseerd wordt vastgesteld door een kredietinformatiebureau en wanneer hoofdzakelijk van die waarschijnlijkheidswaarde afhangt of een derde, aan wie deze waarschijnlijkheidswaarde wordt doorgegeven, met die persoon een contractuele relatie tot stand brengt, uitvoert of beëindigt.

Geautomatiseerde individuele besluitvorming mag alleen in wettelijk bepaalde uitzonderingsgevallen waar Experian zich niet op kan beroepen. Zelfs het BKR kan dat op dit moment niet, maar dat wil de overheid repareren in de Wet stelsel kredietregistratie.

[Reactie gewijzigd door jochemd op 31 oktober 2024 15:03]

pizzaislekker @jochemd • 31 oktober 2024 20:20

Het klopt wat je zegt, ik geef even wat extra context voor een eventuele geïnteresseerde bezoeker.

Het verbod op ‘geautomatiseerde individuele besluitvorming’ is neergelegd in art. 22 van de AVG.

Even copy/paste van het eerste lid, met dikgedrukt de belangrijke onderdelen: “De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.

De gedachte hierachter is dat je leven alleen overhoop mag worden gehaald wanneer er in ieder geval sprake is geweest van menselijke tussenkomst

In het Schufa-arrest, wat jij aanhaalt, is de casus als volgt. Pietje wil een lening bij bank X. Bank X geeft natuurlijk niet aan iedereen een lening en wil vooral zeker weten dat een lening ook wordt terugbetaald. Bank X gebruikt in de beoordeling de ‘kredietscores’ van het bedrijf Schufa. Een kredietscore is niets meer dan een waarde die uitdrukt wat je ‘verwachte betalingsbereidheid’ is. Zo is er ook een score over Pietje. De kredietscore van Pietje is te laag en bank X verstrekt de lening daarom niet.

Van belang was hier dat weliswaar een menselijke bankmedewerker de lening had afgewezen, maar dat de kredietscore op zichzelf al het resultaat bepaalde. Kortom, de ‘menselijke tussenkomst’, was niet voldoende van belang. Daardoor voldeed de kredietscore op zichzelf al aan de definitie van ‘besluit’.

Een dergelijke kredietscore is dus een besluit dat uitsluitend geautomatiseerd tot stand komt en mede is gebaseerd op allerlei persoonlijke eigenschappen om tot een verwachte gedraging te komen.

Van belang is ook nog dat het ‘voorspellen van je gedrag’ op basis van persoonlijke eigenschappen valt onder de term ‘profilering’.

Er zijn drie grondslagen op basis waarvan het verbod niet geldt:
1. Noodzakelijk voor contract tussen jou en verwerkingsverantwoordelijke
2. Wettelijke grondslag met passende waarborgen
3. Jouw uitdrukkelijke toestemming

Van 1 en 2 kan Experian geen gebruik maken, dus zouden ze steeds om je uitdrukkelijke toestemming moeten vragen.

En ook dan dient Experian passende waarborgen te nemen om mogelijk te maken dat jij een dergelijke kredietscore desgewenst geïnformeerd kunt aanvechten.

Mocht je dat recht willen uitoefenen, dan kun je je beroepen op het in art. 15 van de AVG neergelegde inzagerecht. Gewoon een brief sturen of een e-mail. Wat je maar wil.

Je kunt dan alle persoonsgegevens opvragen die ze van je hebben. Ook kun je wanneer er sprake is van ‘geautomatiseerde besluitvorming’ vragen om ‘nuttige informatie over de onderliggende logica daarvan’. Wat je dan zou moeten krijgen, daar komt heel binnenkort een uitspraak over in de ‘Dun & Bradstreet’-casus.

Advocaat Generaal Richard de la Tour heeft daarover al een conclusie geschreven. Hij meent dat je geen recht hebt op de keiharde algoritmes, maar je zou met de verkregen uitleg en persoonsgegevens wel hetzelfde resultaat moeten kunnen behalen.

Vervolgens kun je beoordelen of je persoonsgegevens wel rechtmatig zijn verwerkt en of ze wel juist zijn. Zijn ze niet juist? Dan kun je ze laten rectificeren en een nieuw besluit laten nemen.

Tenslotte, als ze onvoldoende gevolg geven aan het voorgaande, kun je naar de rechter gaan. Parallel daaraan kun je ook een klacht bij de AP neerleggen.

[Reactie gewijzigd door pizzaislekker op 31 oktober 2024 20:24]

Dennisweb 31 oktober 2024 12:00

Ik heb ook met Experian te maken gehad. Een half jaar geleden kreeg ik de sleutels van mijn eerste huurhuis. De vorige bewoner heeft een enorme stapel aan ongeopende facturen, boetes en dwangsommen achtergelaten in de meterkast.

Toen ik probeerde een energiecontract af te sluiten, moest ik 400 euro aan waarborgsom betalen. Uit onderzoek was gebleken dat ik niet kredietwaardig was. Maar ik heb helemaal geen schulden!

Experian registreert dus op adres. Het is extreem lastig om uit hun systeem te komen. Ik ben er zes weken mee bezig geweest. Zo moest ik een onafgeschermde kopie van mijn ID-kaart e-mailen (lekker veilig) en een kredietrapport over mijzelf aanvragen. Daarna hebben ze mijn adres uit het systeem gehaald, omdat ik als nieuwe bewoner geen schulden heb.

Sindsdien kan ik ook weer bij Klarna en Bol betalen. Ik betaal alleen achteraf, zodat ik zeker weet dat ik mijn pakketje krijg. De factuur betaal ik bij ontvangst meteen.

In ieder geval terecht dat Experian een boete krijgt. De manier waarop zij met gegevens omgaan, is stuitend en bedroevend slecht.

Polderviking

@Dennisweb • 31 oktober 2024 13:44

Experian registreert dus op adres.

Toch niet raar? Mensen verhuizen nooit. Kan gewoon.

Dit krijg je als je private partijen hier zelf invulling aan laat geven.

Ik heb ook al eens gehad dat ik een boormachine kocht ergens, en hem gewoon niet geleverd kreeg.
Bleek dat ze die gewoon moedwillig achterhielden zonder verdere communicatie omdat een gelijkgenaamd persoon in een ander land (!) iets niet had teruggestuurd en ze zo even dachten het verschuldigde bedrag te kunnen claimen.

Nou kan je bij zo'n winkel er voor kiezen om daar gewoon nooit meer wat te kopen maar zo'n hut die achter de schermen overal en nergens tussen zit heb je geen controle over.

jeanj @Dennisweb • 31 oktober 2024 14:28

Hoewel ik het eens met je stelling over experian, is het ook jouw energie provider die de fout in gaat. Ze moeten namelijk niet op je nieuwe adres je krediet status opvragen als je daar net naar toe bent verhuisd, maar op je oude (en mogelijk hebben ze dat niet of ze weten niet dat je daar na toe verhuisd bent) of nog beter op persoon met volledige naam en geboorte datum (hoewel dat niet uniek is) (maar waarschijnlijk als ze die gegevens hebben mogen ze die niet doorgeven vanwege de avg)

Je bent overigens niet de eerste, er was een vergelijkbaar akkevietje met ik dacht met essent in rotterdam (, in radar/kassa dach ik kan zo niet terug vinden) in de media. Daar ging het om dat ie persoon in een slechte postcode woonden, dwz met veel wanbetalers

Ik zou er voor passen vrijwillig data aan experian te verstrekken, het is een soort chantage model, als jij jouw gegevens niet met ons deelt krijg/houd je een slechte score, terwijl die score niet over jou gaat..

Ik zou wel eens willen weten of het legaal is, zowel de vraag van de engerie provider aan Experian (op basis van postcode) of en het antwoord van Experian, en dan de actie van de energie provider naar jou toe, is het geen smaad als ze aangeven dat de kans op wanbetaling hoog is? Nadeel is dat je geen inzage in die vraag en antwoord krijgt, zou je dat met de AVG op kunnen vragen?

[Reactie gewijzigd door jeanj op 31 oktober 2024 14:30]

rob12424 @Dennisweb • 31 oktober 2024 14:30

Heb je daar bewijs van. Dan zou ik je zaak naar het AP mailen.

Niet alle bedrijven zijn malafide maar er zijn er wel een aantal bij.

Was vroeger helemaal leuk. Oplichter start bedrijf en schrijft ook doodleuk een deurwaarderskantoor in.

Ik heb ze beiden op mijn dak gehad. Ze begonnen te dreigen met 1000 euro. Geld is niet mijn drijfveer. Rechtvaardigheid soms wel. Samen met de ACM de toko laten sluiten en er is daarna nieuwe wetgeving gekomen.

themadone @Dennisweb • 31 oktober 2024 15:13

Het is nog veel erger, als jij in een wijk vol wanbetalers gaat wonen heeft dit al effect op je Experian score. Dat je autoverzekeringspremie afhankelijk is van waar je woont is tot daar aan toe, maar de hele wijk over 1 kam scheren als het gaat om het wel of niet betalen van rekeningen is wel ff van een ander niveau.

De BKR kan je nog web blijven als je gewoon niets leent, maar Experian pakt allerlei gegevens van energie tot je telefoon abonnement en nog veel meer om te bepalen of jij wel of niet kredietwaardig bent. Is ook lachen als je tijdelijk werkloos bent en daardoor een maandje een rekening skipt, daarna weer dikke baan maar volgens Experian ben je het schuim der aarde en dit kom je dan op de gekste plekken tegen.

Die_ene_gast @Dennisweb • 31 oktober 2024 13:24

Sindsdien kan ik ook weer bij Klarna en Bol betalen. Ik betaal alleen achteraf, zodat ik zeker weet dat ik mijn pakketje krijg

Je probeert dus die services als CC te gebruiken, terwijl ze daar niet voor zijn. Als je je pakketje niet krijgt en niet betaald, sta je zo weer in het systeem van Experian.

Dennisweb @Die_ene_gast • 31 oktober 2024 13:32

Denk je?

https://www.klarna.com/nl...ntvangen-moet-ik-betalen/

Dit heb ik gevonden binnen 5 seconden Google. Dus volgend mij klopt jouw uitspraak niet. Overigens heb ik het er zelf niet naar gemaakt, he, dat mijn nieuwe adres bij Experian stond ingeschreven. Dat kwam volledig door de vorige bewoner.

Overigens hebben dir achterafbetaaldiensten ook een ander voordeel: valt de bestelling bij ontvangst tegen, dan heb ik nog niets betaald en hoef ik niet te wachten, totdat mijn betaling is teruggestort. Volgens mij worden beide voordelen gewoon door Klarna en Afterpay genoemd.

Die_ene_gast @Dennisweb • 31 oktober 2024 14:10

Dan moet je wel even hopen dat je bestelling niet als geleverd staat, want dat is nou vaak juist het probleem.

Zelf nog nooit problemen gehad met bol, zelfs niet toen ik claimde dat het niet ontvangen was terwijl postnl het wel claimde.
Laatst was er ook een radar item over klarna e.d. waar men niet vanaf kwam omdat men andere betalers aangaf oid.

Polderviking

@Die_ene_gast • 4 november 2024 12:51

Ik vind het een beetje apart om er aan te twijfelen dat je bij een hut als bol je bestelling of anders geld terug krijgt, maar zonder ontvangen bestelling heb je natuurlijk ook geen betalingsverplichting.
En dat je eerst je product krijgt en dan pas betaald is expliciet hoe bol achteraf betalen aanbied dus in dat opzicht gebruik de persoon waar je op reageert de service, in ieder geval bij bol, precies zoals bedoeld.

[Reactie gewijzigd door Polderviking op 4 november 2024 13:02]

divvid 31 oktober 2024 10:59

Enge club. Voor je het weet heb je een negatieve score die je niet meer kan beïnvloeden, maar jouw leven wel enorm kan beinvloeden. Hier zou ook paal en perk aan gesteld moeten worden, ter bescherming van de consument.

Wanneer je niet op tijd hebt betaald noemen we dit ook wel een negatieve betalingservaring. Een negatieve betalingservaring blijft tot maximaal 7 jaar bewaard. Bij een nieuwe toetsing telt een negatieve betalingservaring maar tot 5 jaar terug mee.

Ook als je de rekening alsnog hebt betaald, blijft een negatieve registratie dus voor maximaal 7 jaar bestaan. Deze bewaartermijn is bepaald in de gedragscode van de Vereniging van Kredietinformatiebureaus (VvKi).

Voorbeeld: Als je in 2014 een negatieve betalingservaring op je naam had staan, dan telt deze bij een nieuwe kredietaanvraag in 2020 niet meer mee. De negatieve betalingservaring is dan namelijk al meer dan 5 jaar oud. De negatieve betalingservaring blijft nog wel tot 2021 (7 jaar) bewaard.

Wil je weten hoe lang je gegevens precies bewaard worden? Bekijk dan de vraag ''Hoe lang bewaart Experian gegevens van consumenten?''.

Met andere woorden, ook als er aantoonbaar iets fout is gegaan in een betaling, ben je de klos en kan je een negatieve score niet meer veranderen.

Ik snap dat dit soort bedrijven bestaan, maar de AP heeft wel een punt dat dit soort praktijken buiten gerechtvaardigd belang gaan

M3m3nt0m0r1 @divvid • 31 oktober 2024 11:05

Een commerciële BKR. Bizar dat dat toegestaan is.

RebelwaClue @M3m3nt0m0r1 • 31 oktober 2024 11:10

Erge is, ze liegen ook over welke data ze hebben over je. Was toen een documentaire over data brokers o.a. Experian en als je informatie opvraagt die ze over jou hebben, zijn ze verplicht dat te geven. Werd glashard ontkent, terwijl de reporter via via wist dat ze info over hem hadden.

divvid @RebelwaClue • 31 oktober 2024 11:22

de procedure hebben ze dan wel weer helder op hun site staan. Of je de complete data krijgt is niet te achterhalen. Persoonlijk vind ik het bizar dat iemand 7 jaar lang achtervolgd kan worden door een 'negatieve betalingservaring' (wat een eufemisme). Een partij die kwaad wil kan zomaar zeggen dat je een rekening niet betaald hebt, terwijl daar misschien goede redenen voor zijn (slecht product of werk geleverd, schade veroorzaakt, fouten gemaakt etc.). Dat soort zaken recht zetten gaat al gauw een gang naar de rechter kosten.

SkyStreaker @divvid • 31 oktober 2024 11:29

Oh ja hoor, ik heb wel eens een briefje gekregen over een kleine betaling die mij is ontschoten van een lidmaatschap, iets van een jaar of 10 later? Ik had, dacht ik, op tijd opgezegd en blijkt dus niet zo te zijn. Wat ik mij denk ik kan herinneren dat het eerder mij overkwam alsof het opgekochte informatie was, was de partij die die "gemiste kosten" op mij verhaalde had helemaal niks te maken met dat lidmaatschap.

Uiteindelijk ben ik er vanaf gekomen door een telefoontje richting rechtsbijstandverzekering en een stevige standaardbrief aangaande consumentenrecht en een soort van verjaring (iirc). Kon het prima betalen hoor, was een schamele 20 euro ofzo, maar toch!

Dit soort bedrijven zijn gewoon complete kolder in dit daglicht.

Azara @SkyStreaker • 31 oktober 2024 16:40

Vervallen van dit soort schulden bestaat inderdaad gewoon en is 5 jaar in het Burgerlijk Wetboek. Was dus onterecht van de eisende partij om daar na 10 jaar op terug tekomen.

echtwaar? @Azara • 1 november 2024 10:00

Met de huidige digitalisering/automatisering omtrent betalingsherinneringen en de daarbij behorende plichten omtrent het doorgeven van nieuwe adressen (post en digitaal) verjaard alleen bijna niks meer.

Azara @echtwaar? • 1 november 2024 12:04

Klopt, in principe kun je als schuldeiser net voor het einde van de 5 jaar een briefje sturen, dat stuit de oude 5-jaarstermijn en start een nieuwe. Maatschappelijk heel ongewenst overigens als schulden zo in het oneindige blijven staan.
Tel daarbij het doorverkopen van schulden op en mensen kunnen heel lang achtervolgd worden door al of niet terechte aanmaningen. Meestal onterecht, want dat is een belangrijke reden dat ze niet betalen.

echtwaar? @Azara • 1 november 2024 12:13

Ik heb bkr dossiers van 13 jaar terug woning aankopen zien blokkeren. Had je de spullen beter kunnen stelen, dan was het al verjaard 😅

Azara @RebelwaClue • 31 oktober 2024 17:05

Dat was op DeCorrespondent, zie: https://decorrespondent.n...83-0c5c-3d4f-d8e3c7418d62

Jeoh @M3m3nt0m0r1 • 31 oktober 2024 11:45

Het BKR mag dan wel geen winstoogmerk hebben, ze zijn net zo commercieel als Experian.

WizX @M3m3nt0m0r1 • 31 oktober 2024 12:04

Het BKR is ook gewoon een commerciële partij in mijn ogen. Het zijn namelijk bedrijven als de ING die bepalen wat er in staat, bekijk de uitzending van Radar maar eens uit 2023.

brammetje1994 @divvid • 31 oktober 2024 12:19

Automatische profilering is ook wel een van de rechten voor individuen onder de avg (recht om niet alleen daardoor beoordeeld te worden). Maar daarvoor moet je wel op de hoogte zijn dat je op basis daarvan beoordeeld bent.

De AI act gaat mogelijk ook dit soort scoringspraktijken aan banden leggen.

Los daarvan is dit duidelijk geen gerechtvaardigd belang in mijn mening.

[Reactie gewijzigd door brammetje1994 op 31 oktober 2024 12:19]

CivLord

@Die_ene_gast • 31 oktober 2024 13:44

Wat heeft dat met dit onderwerp te maken?
Of je nu per bank betaalt of elke maand naar een kantoortje moet om cash te betalen, wanbetalen is wanbetalen. En in beide gevallen is er een administratie die Experian graag in handen wil krijgen.
En of je nu genoeg cash op zak hebt om iets in één keer te betalen of genoeg op je bankrekening, wanneer je geen krediet nodig hebt zal er nooit een check gedaan worden bij een club als Experian of BKR.

Auteur

EvelineM 31 oktober 2024 10:24

Ik heb geprobeerd samen met @TijsZonderH de boete online te vinden om te verifiëren om wat voor bedrag het gaat, maar dat is niet gelukt. Als iemand daar meer succes mee heeft, laat het dan even aan ons weten!

Floort

Privacy
Autoriteit Persoonsgegevens
Boete

@EvelineM • 31 oktober 2024 11:39

Het boetebesluit van de AP staat voor zover ik weet niet online. Wat wel online te vinden is is een uitspraak van de rechter over Experian. Er staat ook een uitspraak online waarin "[Bedrijf] te [[vestigingsplaats]]" in een kort geding gelijk krijgt tegen de AP met betrekking tot het niet bekendmaken van het boetebedrag. Deze tweede uitspraak verwijst direct naar de eerdere uitspraak in randpunt 2.6.

Dit lijkt waar het artikel van het FD op is gebaseerd, maar ik kan het artikel niet lezen.

TijsZonderH Nieuwscoördinator @Floort • 31 oktober 2024 12:15

Ik probeer vooral uit te vinden waaruit het FD opmaakt dat het over miljoenen gaat. Het voelt alsof ze zich baseren op die 4%, daarom zocht ik de uitspraak. Daar staat in:

Daarbij moet nog bedacht worden dat eiseres, enigszins tegen wil en dank, heeft gesuggereerd in het aan klagers te zenden afschrift de hoogte van de boete en de berekening daarvan weg te laten, maar te volstaan met de vermelding dat aan eiseres “een boete groter dan 1 miljoen EUR” is opgelegd

Daarmee zou het dus in de top-6 vallen van hoogste AP-boetes, maar ik kan dus niet verifiëren dat het hier om hetzelfde bedrijf gaat.

berzerker

@TijsZonderH • 31 oktober 2024 14:09

Wellicht is meer detail af te leiden uit het volgende stukje uit het vonnis (ik heb alleen een typefout gefixt omwille van de leesbaarheid):

De hoogte van de aan eiseres opgelegde bestuurlijke boete is aanzienlijk te noemen. De hoogte van de boete is van een geheel andere orde dan de boetes die de AP oplegde (of zou hebben kunnen opleggen) voordat AP het boetebeleid van de European Data Projection Board (Guidelines 04/2022 on the calculation of administrative fines under the GDPR) is gaan volgen, zo maakt de voorzieningenrechter op uit het debat van partijen op.

Hieruit volgt dat het bedrag méér moet zijn dan het maximum dat onder de vorige boeterichtlijnen opgelegd kon worden, maar ik weet niet wat dat maximum is of wat die vorige boeterichtlijnen precies waren.

Overigens is deze wijze van anonimisering van het vonnis duidelijk betrekkelijk nutteloos, aangezien er eerder een niet-geanonimiseerde vonnis tussen dezelfde partijen is geweest en het geanonimiseerde vonnis verwijst naar het eerdere niet-geanonimiseerde vonnis. Als het persoonsgegevens had betroffen, dan zou de AP de rechtbank hier een boete voor hebben kunnen opleggen....

Overigens vraag ik me wel af hoe dit dan bij het FD terecht is gekomen. Dat moet haast wel een van de klagers of een lek (bij de AP?) zijn geweest.

[Reactie gewijzigd door berzerker op 31 oktober 2024 14:44]

Floort

Privacy
Autoriteit Persoonsgegevens
Boete

@berzerker • 31 oktober 2024 14:36

Het is lastig om op basis van deze tekst te zeggen wat nu het relevante onderscheid maakt. En het feit dat het archief van de AP van voor 2022 niet meer beschikbaar is maakt zoeken wat onbetrouwbaar. Ik dacht me te heriineren dat er rond 2016 een nieuw boetebeleid is gemaakt, maar die kan ik niet meer terugvinden. Ik kan deze van 2019 wel terugvinden in de staatscourant. Maar de boetebeleidsregels zijn flexibel genoeg om ook binnen dezelfde beleidsregels enorm te varieren. Of de beleidsregels kunnen inconsistent of fout worden toegepast.

jochemd @berzerker • 31 oktober 2024 14:59

Hieruit volgt dat het bedrag méér moet zijn dan het maximum dat onder de vorige boeterichtlijnen opgelegd kon worden, maar ik weet niet wat dat maximum is of wat die vorige boeterichtlijnen precies waren.

Onder de oude regels was het 1 miljoen euro tenzij er bijzondere omstandigheden waren. Vroeger waren de regels voor bedrijven en overheden gelijk, nu gelden voor bedrijven de EDPB regels en voor overheden nog steeds de oude regels.

Daarnaast staat in het jaarverslag van de AP over 2023 het totaalbedrag:

In 2023 is het aantal handhavingsbesluiten uitgekomen op 16. Dat is onderverdeeld in 8 boetebesluiten, 3 besluiten waarin lasten onder dwangsom zijn opgelegd en 5 berispingen. Het totale boetebedrag bedroeg € 243.160.000. Omdat organisaties zich dikwijls met juridische middelen verzetten tegen de openbaarmaking van het aan hen opgelegde sanctiebesluit, kan de AP die besluiten nog niet openbaren zolang de openbaarmakingsprocedure nog niet is afgerond.

Daar zat 10 miljoen van Uber bij, maar voor de rest is er nog niets groots gepubliceerd.

[Reactie gewijzigd door jochemd op 31 oktober 2024 14:59]

Floort

Privacy
Autoriteit Persoonsgegevens
Boete

@berzerker • 31 oktober 2024 15:06

Met betrekking op de herleidbaarheid van het vonnis: er is een wettelijke grondslag voor het publiceren van vonnissen. Ook met persoonsgegevens of herleidbare bedrijfsgegevens daarin. Wat wel de bedoeling is is dat de publlicatie geen onredelijke schade aanricht. De rechtbank noemt het overigens ook niet (meer) anonimiseren, maar pseudonimiseren. Dat gaat niet strikt over de AVG definitie (bijvoorbeeld omdat het ook over bedrijfsgegevens gaat), maar het sluit wel beter aan bij hoe de AVG het onderscheid maakt tussen de twee begrippen.

Soms is het voldoende dat als je een naam Googled dat niet meteen een heel negatief vonnis opduikt voor iedereen omdat dat voor onnodige reputatieschade zorgt. Dan kan het genoeg zijn om de naam niet te noemen terwijl een goede lezer wel het een en ander kan achterhalen. Dat is ook ongeveer wat hier is gebeurd, maar die nuance valt weg als het FD er een artikel over schrijft en daar wel de naam in opneemt.

Floort

Privacy
Autoriteit Persoonsgegevens
Boete

@TijsZonderH • 31 oktober 2024 13:34

Dat snap ik. Ik zat me ook op te winden over berichtgeving zonder dat ik de nuances kan nalezen. Ik wilde in ieder geval delen wat er wel te vinden is, maar alsnog in de meeste nieuwsberichten ontbreekt. Nu is er nogsteeds een hoop onzeker over de inhoudelijke overtredingen. Ik lees een hoop speculatie over de onbetrouwbaarheid van besluiten over gerechtvaardigd belang zonder dat duidelijk is of dat bij dit besluit terecht is.

Azara @TijsZonderH • 31 oktober 2024 16:51

Hier meer info uit het FD artikel, maar heel duidelijk wordt het daar ook niet van.

De beursgenoteerde multinational noemt de straf van de AP ‘afschrikwekkend’ en ‘juridisch fout’, en probeerde die de afgelopen maanden angstvallig uit de publiciteit te houden. Het FD stuitte op de zaak via een geanonimiseerd vonnis van de rechtbank in Den Haag.
Het gaat om een van de hoogste boetes uit de geschiedenis van de AP, die in juli ook al een boete van €290 mln uitdeelde aan de Amerikaanse taxidienst Uber – een teken dat de Nederlandse waakhond zijn bevoegdheid ten volle benut. Hoewel het precieze bedrag ongewis blijft in het vonnis, gaat het mogelijk om tientallen miljoenen. ‘Dat zelfs een multinational schrikt van de hoogte, dat zegt wel wat’, zegt privacyadvocaat Hester de Vries van Kennedy Van der Laan. In zijn jaarverslag vermeldt Experian alleen dat de boete ‘tot 4% van de wereldwijde omzet’ kan bedragen. Die was ruim $7 mrd in 2023. De beursgenoteerde multinational noemt de straf van de AP ‘afschrikwekkend’ en ‘juridisch fout’, en probeerde die de afgelopen maanden angstvallig uit de publiciteit te houden. Het FD stuitte op de zaak via een geanonimiseerd vonnis van de rechtbank in Den Haag.
Het gaat om een van de hoogste boetes uit de geschiedenis van de AP, die in juli ook al een boete van €290 mln uitdeelde aan de Amerikaanse taxidienst Uber – een teken dat de Nederlandse waakhond zijn bevoegdheid ten volle benut. Hoewel het precieze bedrag ongewis blijft in het vonnis, gaat het mogelijk om tientallen miljoenen. ‘Dat zelfs een multinational schrikt van de hoogte, dat zegt wel wat’, zegt privacyadvocaat Hester de Vries van Kennedy Van der Laan. In zijn jaarverslag vermeldt Experian alleen dat de boete ‘tot 4% van de wereldwijde omzet’ kan bedragen. Die was ruim $7 mrd in 2023.

Experian noemt het zelf ook afschrikwekkend, dus dan zal het toch al gauw om meer dan een paar miljoenen gaan.

Auteur

EvelineM @Floort • 31 oktober 2024 12:14

Dankjewel Floor!

Mosterd @EvelineM • 31 oktober 2024 11:09

4% van hun wereldwijde omzet is wel fors, als dat het dan ook is.

wildhagen

Privacy

@Mosterd • 31 oktober 2024 11:14

Inderdaad. Volgens hun Wiki hadden ze in FY2023 een wereldwijde omzet van 6.619 miljard dollar, oftewel 6.090.861.405 euro. Dan zou dat bij 4 procent dus uitkomen op ongeveer 240 miljoen euro.

Maar, en hier komt het, die 4 procent is wel de maximale boete die men opgelegd kan krijgen. Het hoeft dus niet meteen dat percentage te zijn, het kan ook een lager percentage worden.

Mosterd @wildhagen • 31 oktober 2024 11:20

Ik vraag mij ook af waar dat geld terechtkomt. Komt dit bij de staatskas? Dan is het niet zo bijzonder. Komt het bij de AP terecht? Dan zou dat heel gunstig kunnen zijn en kunnen ze wellicht nog beter hun werk doen, begreep dat de huidige regering namelijk wou korten op hun fundering.

TijsZonderH Nieuwscoördinator @Mosterd • 31 oktober 2024 11:25

De AP deelt bestuursrechtelijke boetes uit die in de Algemene Middelen van de statskas komen. Ik heb dat ooit geschreven in dit artikel: nieuws: Wat gebeurt er als de overheid de AVG overtreedt en zichzelf een boet...

Daar staat ook dat je juist niet moet willen dat het naar de AP gaat, want dan hebben ze een perverse prikkel om hoger of strenger te straffen dan ze zouden moeten.

En ook de huidige regering verhoogt het budget van de AP de komende jaren, alleen minder dan waar ze zelf op hopen. Maar dat is al jaren het geval.

Quintiemero @EvelineM • 31 oktober 2024 11:36

Laten we ook niet vergeten dat 9/10 boetes die de AP terecht uitdeelt ook worden verminderd door de rechter.

PacinoAllstars @EvelineM • 31 oktober 2024 19:21

De AVG kan boetes opleggen tot €20 miljoen of 4% van de wereldwijde omzet voor ernstige overtredingen. Gezien Experian's grootte en de aard van de overtreding, zou een boete in de miljoenen euro's realistisch zijn. Echter, zonder exacte details, blijft het gissen. Misschien ergens tussen de €10 miljoen en €20 miljoen, afhankelijk van hoe ernstig de overtreding werd geacht.

ronaldvr 31 oktober 2024 11:36

Experian noemt de boete en dwangsom 'afschrikwekkend'

Hmm What part of 'dwang' do you not understand?

Verder vind ik dat de redacteur nog wel erg ver gaat met de uitspraak dat de AP het deksel op de neus kreeg: Het is m.i. absoluut niet zo dat het de argumentatie dat het hebben van een commercieel belang een soort blanco cheque is om data te mogen verzamelen nu ineens goedgekeurd is. Alleen een afwijzing van de argumentatie dat het a priori fout is. Anders gezegd: De AP gaat in haar argumentatie te kort de bocht en wijst een potentieel commercieel belang te gemakkelijk direct van de hand en zal per situatie een duidelijke en op de zaak toegespitste en beter onderbouwde argumentatie moeten hebben waarom het geen 'gerechtvaardigd' belang is.(Of waarom de rechtvaardiging in het kader van de overige condities van ondergeschikter belang is en dus niet steekhoudend)

Dat kan dus in voorkomende gevallen tot precies dezelfde uitkomst leiden, alleen met een uitgebreidere onderbouwing

[Reactie gewijzigd door ronaldvr op 31 oktober 2024 11:38]

berzerker

@ronaldvr • 31 oktober 2024 11:42

Verder vind ik dat de redacteur nog wel erg ver gaat met de uitspraak dat de AP het deksel op de neus kreeg: Het is m.i. absoluut niet zo dat het de argumentatie dat het hebben van een commercieel belang een soort blanco cheque is om data te mogen verzamelen nu ineens goedgekeurd is. Alleen een afwijzing van de argumentatie dat het a priori fout is.

Dat is toch precies wat er in het artikel staat? Quote uit het artikel:

Onlangs kreeg de AP daarover het deksel op de neus van het Europees Hof van Justitie. Dat stelde dat de AP met die uitspraken veel te streng is; commerciële belangen kunnen wel degelijk rechtvaardig zijn. De AP kan dat niet zo in zijn algemeenheid zeggen, maar moet het feit per individuele zaak bekijken.

TijsZonderH Nieuwscoördinator @ronaldvr • 31 oktober 2024 12:17

FYI, dat is mijn passage die ik heb aangevuld.

Alleen een afwijzing van de argumentatie dat het a priori fout is

Klopt, maar dat was jarenlang wel het standpunt van de AP, en daar waren ze zeer stellig in. Dus als ze daarop worden afgewezen, krijgen ze wmb het deksel op de neus - of geef er maar een ander eufemisme aan

ronaldvr 31 oktober 2024 11:49

Ja, ja, maar als het gaat om de interpretatie valt daar nog wel wat op af te dingen, in het geval van de tennisbond is er nog een andere conditie die telt: de toestemming moet namelijk 'vrij zonder dwang' gebeuren: https://www.autoriteitper...een/grondslag-toestemming

Dus: Heeft de tennisbond leden in de gelegenheid gesteld om hier *niet* aan mee te doen zónder dat daar consequenties aan waren verbonden?

Dat is wat ik bedoel: er zijn méér toetsingskaders in de AVG dan alleen gerechtvaardigd belang, en ook meer redenen die de AP zou kunnen geven waarom het gepercipieerde 'gerechtvaardigde' belang dat uiteindelijk niet is omdat het niet voldoet aan andere criteria.

aikebah @ronaldvr • 31 oktober 2024 14:02

"vrij zonder dwang" is een conditie waaraan je moet voldoen als je je verwerking wilt baseren op de grondslag "toestemming". Bij de grondslag "gerechtvaardigd belang" is die niet van toepassing.

ronaldvr @aikebah • 31 oktober 2024 15:07

(Of waarom de rechtvaardiging in het kader van de overige condities van ondergeschikter belang is en dus niet steekhoudend)

Had ik ook gezegd toch?

aikebah @ronaldvr • 31 oktober 2024 15:34

Als verwerker geef je aan op welke gronden je verwerkt, en de tennisbond had daarvoor gerechtvaardigd belang gekozen. Daarmee is automatisch

in het geval van de tennisbond is er nog een andere conditie die telt: de toestemming moet namelijk 'vrij zonder dwang' gebeuren: https://www.autoriteitper...een/grondslag-toestemming"

niet van toepassing, want de tennisbond beriep zich niet op de verwerkingsgrond toestemming, maar op de verwerkingsgrond gerechtvaardigd belang.

ronaldvr @aikebah • 31 oktober 2024 15:54

Ja, dat kán. En daar ging de AP dus de mis tin door te zeggen 'gerechtvaardigd belang is altijd fout'. De AP kan nu nog steeds zeggen (wat in het proces ook naar voren kwam) dat er een ledenraadpleging is geweest, *dus* dat men zich ter dege realiseerde dat 'gerechtvaardigd belang' noch het enige noch de correcte route was als het gaat om individuele leden zonder keuze vrijheid. Dat gerechtvaardigd belang géén blanco checque is om alle commerciële belangen maar te laten prevaleren boven individuele belangen, dus dat daarom de gekozen *route* incorrect is. En dan terugverwijzen naar de bond die dan hun huiswerk over moeten doen (niet alleen ledenraadpleging maar ook mensen in de gelegenheid stellen voor een opt-out, die moet ook goed kijken naar de lidmaatschapsvoorwaarden want in je voorwaarden opnemen dat je dan automatisch mee doet is ook ongewenst). Dus een veel uitgebreidere onderbouwing en *guidance* over hoe het dan wel zou mogen. Want (zoals de EDPB ook aangeeft:

In order to rely on legitimate interest, the controller needs to fulfil three cumulative conditions:
The pursuit of a legitimate interest by the controller or by a third party;
The necessity to process personal data for the purposes of pursuing the legitimate interest;
The interests or fundamental freedoms and rights of individuals do not take precedence over the legitimate interest(s) of the controller or of a third party (balancing exercise).
En die laatste is de clincher in dit geval.

aikebah @ronaldvr • 31 oktober 2024 16:11

Klopt helemaal, maar leidt af van jouw (in mijn laatste reactie gequootte en evident irrelevante) statement dat bij de tennisbond het 'vrij zonder dwang' van de toestemming aspect nog mee zou spelen. Dat was alles waar dit specifieke draadje over ging. Dat er het nodige valt af te betwijfelen over de onderbouwing van de keuze van de tennisbond voor gerechtvaardigd belang en dat er het nodige valt af te dingen op de categorische weigering van 'gerechtvaardigd belang' door de AP zodra dat belang 'commercie' betreft zijn allebei helemaal waar, maar niet terzake doende voor de vraag of in het hele verhaal het 'vrij zonder dwang' nog een rol zou spelen (dat doet het niet, want dat slaat als eis op een andere rechtvaardigingsgrond).

ronaldvr @aikebah • 1 november 2024 12:01

Nou nee, want:

The interests or fundamental freedoms and rights of individuals do not take precedence over the legitimate interest(s) of the controller or of a third party (balancing exercise).

Is blijkbaar een essentieel toetsingscriterium voor 'gerechtvaardigd belang', dus je mag daar bijgevolg niet zomaar aan voorbij gaan of het overslaan. Nogmaals: jij gaat steeds de richting op van 'gerechtvaardigd belang=blanco cheque', maar de *constatering* van het mogelijkerwijs hebben van dat belang is slechts de eerste stap om überhaupt aan dat criterium uit de AVG te mogen voldoen.

aikebah @ronaldvr • 1 november 2024 18:04

Nee, ik ga niet naar de blanco cheque, maar de fundemental freedoms and rights van het datasubject is niet 'vrij zonder dwang toestemming geven', maar het fundamentele recht op privacy (waarvoor bij de keus voor 'toestemming als grond voor de privacy-inbreuk' een harde eis is dat die toestemming dan 'vrij zonder dwang' gegeven kan worden).

Voor gebruiken van gerechtvaardigd belang als grondslag zal de verzamelaar moeten beargumenteren waarom een belang van de dataverzamelaar zwaarder weegt dan de privacy van degene over wie de data verzameld wordt.

ronaldvr @aikebah • 1 november 2024 19:34

Ja en gezien de insteek van de AVG als middel om consument klein duimpje tegenover bedrijf goliath macht te geven betekent dat dus dat dat altijd heel zwaar gaat wegen, en dat een commercieel belang nooit zonder hele goede reden én met de nodige voorzichtigheid omgeven richting de -altijd zwakker staande consument privé persoon- zal moeten worden afgewogen. En dat betekent dus wel degelijk dat die vrijelijk gegeven toestemming dan weer direct in beeld komt. Want anders is die hele AVG wel heel makkelijk te omzeilen.
En dat betekent weer dat de tennisbond nog lang niet op het droge is: Die heeft wel degelijk te gemakkelijk haar * afgeveegd met de AVG. Weliswaar was de boete misschien wat draconisch, maar zeker op zijn plaats.

Mosterd 31 oktober 2024 11:18

(Off-topic)
Ik vind het mooi hoe dit soort bedrijven altijd de dubbele standaard van de vrije markt aantonen.

Zou je dit namelijk omdraaien dan zijn er allemaal beschermingen (bedrijfsgevoelige gegevens, informatie is gevoelig voor de markt, smaad en laster, lawfare etc etc) en ben je als particulier de dupe. Maar bedrijven onderling mogen de particulier wel op deze manier naaien.

Doet me denken aan de manier waarop de overheid omging/omgaat met ZZPers in de zorg, het vrije markt geroep kan daar niet meer in op want die zijn te duur dus daarom kan er ineens wetgeving komen om voor ZZPers te bepalen hoeveel zij mogen rekenen. Maar bedrijven forceren hun belasting hier te betalen? “Hallo we zijn toch een vrije markt?” Ja, wanneer het uitkomt voor bedrijven wel ja.

Tintel

Privacy

@Mosterd • 31 oktober 2024 11:29

ja - idd.... typisch effect van 'betere lobby' - want (grote) bedrijven hebben natuurlijk meer geld.
Gelukkig proberen overheden zich wel te verzetten maar ze hebben zichzelf ook klemgezet - want overheden hebben natuurlijk geld nodig en een internationaal bedrijf zegt gewoon "ik betaal slechts Y% of anders ga ik weg en betaal ik (bijna) niets...."
Gevolg: concessies....

Het toch typisch dat een winkel geen foto op de deur mag hangen van een notoire winkeldief, maar dit soort bedrijven hebben gewoon een database met mensen 'die slecht betalen'. Wat niet eens meteen betekent dat het dieven zijn. De digitale vorm van 'aan de schandpaal nagelen' dus. En die schandpaal staat in de kelder.....

Verwijderd 31 oktober 2024 12:22

commerciele belangen van dergelijke bedrijven staan mijn inziens altijd haaks op " gerechtvaardigd belang"

koehandel met persoonlijke gegevens, waarop je als consument niet of nauwelijks zicht hebt en rectificaties niet of nauwelijks voor elkaar krijgt. Dit soort praktijken moeten ze gewoon verbieden.

nospam_Z 31 oktober 2024 20:20

Wat zal KPN nu doen?

Alsnog excuus aanbieden voor het faciliteren van het doorverkopen van mijn gegevens.
Een lijst overhandigen van alle keren dat mijn KPN en Simyo gegevens verkocht zijn aan derden, en aan wie, met welke reden?
Het laten verwijderen van alle gegevens bij Experian die niet strict noodzakelijk zijn voor de dienst waarvoor ze worden ingehuurd?

Tot nu toe heeft KPN zich altijd met het excuus: " Experian is zelf verantwoordelijke gegevensverwerker", maar dat heeft alleen kunnen plaatsvinden omdat KPN die gegevens maandelijks aanlevert.

[Reactie gewijzigd door nospam_Z op 31 oktober 2024 20:22]

PomPomPom 31 oktober 2024 23:16

Wat is eigenlijk de best-practice als het gaat om een bedrijf waar je geen account hebt vragen welke gegevens ze van je hebben?
Wat @Dennisweb hierboven aangeeft, een foto van een ID mailen is nooit een goed plan maar als je geen stroomcontract krijgt sta je met je rug tegen de muur.
Maar op een doordeweekse vrijdag als ze geen dwangmiddel hebben en je wilt je gegevens opeisen, wat is dan de beste manier?

Dennisweb @PomPomPom • 31 oktober 2024 23:26

Zonder legitimatie krijg je die gegevens niet. En dat kan dus alleen per e-mail met je ID/paspoort bij Experian. Wat mij betreft zijn dat wanstaltige praktijken en kan ik me niet voorstellen dat dit conform de AVG is.

Overigens was dit bij Budget Energie. Toen ook de tarieven van die energieleverancier veel hoger dan beloofd waren (stond in het gemailde contract) ben ik naar Essent gegaan. Geen vuiltje aan de lucht.

Het was trouwens de eerste keer dat ik op mezelf woonde. Dus het andere ‘oude’ adres, was her adres van paps en mams.

nospam_Z @PomPomPom • 1 november 2024 14:16

Elk bedrijf, zelfs experian, moet opgeven welke data ze van je hebben, en je kunt vragen welke dat zijn. Ik heb dat uiteraard gedaan bij Experian.

En ja ze zullen je vragen om kopie ID, die kun je eerst anonimiseren via de app van de rijksoverheid,

PomPomPom @nospam_Z • 4 november 2024 12:21

Op basis waarvan matchen ze als je anonimiseert? Alleen voornaam + achternaam?

Op dit item kan niet meer gereageerd worden.

AP gaf kredietverzamelaar Experian boete en sancties na overtreden privacywet

Ruzie over commerciële belangen

Lees meer

NL geeft relatief veel uit aan privacy

IT-banen

Reacties (62)

Ruzie over commerciële belangen

Lees meer

NL geeft relatief veel uit aan privacy

IT-banen

Reacties (62)

Sorteer op:

Weergave: