Hoge Raad, 03-12-2021, ECLI:NL:HR:2021:1814, 21/00241

De eerste prejudiciële vraag stelt aan de orde of de verwerking van persoonsgegevens door een kredietinstelling door middel van een individuele registratie in het systeem van het BKR, moet worden getoetst aan het bepaalde in art. 6 lid 1, aanhef en onder c, AVG, of aan art. 6 lid 1, aanhef en onder f, AVG, of aan beide bepalingen.

Bescherming van persoonsgegevens is een grondrecht dat wordt beschermd door art. 8 EVRM, dat voorziet in het recht op eerbiediging van privé-, familie- en gezinsleven, art. 16 lid 1 van het Verdrag betreffende de werking van de Europese Unie en art. 8 lid 1 van het Handvest van de grondrechten van de Europese Unie, waarin is bepaald dat eenieder recht heeft op bescherming van zijn persoonsgegevens. In zijn beschikking van 9 september 2011 heeft de Hoge Raad onder vigeur van de inmiddels vervallen Wet bescherming persoonsgegevens (hierna: Wbp) en de inmiddels ingetrokken Richtlijn bescherming persoonsgegevens³ geoordeeld dat, mede in het licht van art. 8 EVRM, bij elke gegevensverwerking moet zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit en dat dit meebrengt dat de inbreuk op de belangen van de betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel en dat dit doel in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze kan worden bereikt.⁴ Een en ander geldt ook onder de AVG, die in de plaats is gekomen van de Richtlijn bescherming persoonsgegevens en de Wbp.

Art. 6 lid 1 AVG bepaalt dat de verwerking van persoonsgegevens alleen rechtmatig is indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

Op grond van art. 6 lid 1, aanhef en onder c, AVG is de verwerkingsverantwoordelijke gerechtigd om persoonsgegevens te verwerken als dit noodzakelijk is om te voldoen aan een wettelijke plicht die op hem rust. Uit de memorie van toelichting op de UAVG blijkt dat de Nederlandse wetgever de eis van noodzakelijkheid zo heeft opgevat dat daaraan is voldaan als zonder verwerking van de persoonsgegevens het uitvoeren van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, redelijkerwijs niet goed mogelijk is.⁵

Art. 6 lid 3 AVG bepaalt, voor zover voor de beantwoording van de prejudiciële vragen van belang, dat de wettelijke verplichting als bedoeld in art. 6 lid 1, aanhef en onder c, AVG moet worden vastgesteld bij Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is, welk Unierecht of lidstatelijk recht ook het doel van de verwerking moet vaststellen. In punt 41 van de considerans van de AVG is vermeld dat wanneer in de AVG naar een rechtsgrond of een wetgevingsmaatregel wordt verwezen, dit niet noodzakelijkerwijs een door een parlement vastgestelde wetgevingshandeling vereist. De rechtsgrond of wetgevingsmaatregel moet evenwel duidelijk en nauwkeurig zijn, en de toepassing daarvan moet voorspelbaar zijn voor degenen op wie deze van toepassing is, zoals gëeist door de rechtspraak van het Hof van Justitie van de Europese Unie en het Europese Hof voor de Rechten van de Mens, aldus de considerans. Voorts vermeldt punt 45 van de considerans van de AVG dat de AVG niet voor elke afzonderlijke gegevensverwerking specifieke wetgeving vereist, maar dat kan worden volstaan met wetgeving die als basis fungeert voor verscheidene gegevensverwerkingen op grond van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.

Art. 4:32 lid 1 Wet op het financieel toezicht (hierna: Wft) schrijft voor dat een aanbieder van krediet deelneemt aan een stelsel van kredietregistratie. Art. 4:34 lid 1 Wft bevat een zorgplicht ter voorkoming van overkreditering en verplicht een aanbieder van krediet in het belang van de consument informatie in te winnen over diens financiële positie en te beoordelen of de kredietverlening verantwoord is. De uit dit artikel voortvloeiende zorgplicht is nader uitgewerkt in art. 114 van het Besluit Gedragstoezicht financiële ondernemingen Wft (hierna: BGfo). Daarin is bepaald dat een aanbieder van krediet, voorafgaand aan het verstrekken van een krediet van meer dan € 250,-- het stelsel van kredietregistratie moet raadplegen over reeds aan de consument verleende kredieten. Art. 4:34 lid 2 Wft bepaalt, kort gezegd, dat een kredietaanbieder geen krediet verstrekt indien dit, met het oog op overkreditering van de consument, onverantwoord is. Deze weigeringsplicht is nader uitgewerkt in art. 113 lid 1 BGfo. Daarin is bepaald dat een aanbieder van krediet aan een consument geen krediet verstrekt van meer dan € 1.000,-- indien de aanbieder niet beschikt over voldoende informatie over de financiële positie van de consument om, ter voorkoming van overkreditering, te kunnen beoordelen of het aangaan van de overeenkomst verantwoord is.

De zorgplicht ter voorkoming van overkreditering is mede gebaseerd op Richtlijn 2008/48/EG⁶ (hierna: Richtlijn Consumentenkrediet). Art. 8 lid 1 Richtlijn Consumentenkrediet bepaalt dat lidstaten ervoor zorgen dat de kredietgever de kredietwaardigheid van de consument voor het sluiten van de kredietovereenkomst beoordeelt op basis van toereikende informatie die, in voorkomend geval, is verkregen van de consument en, waar nodig, op basis van een raadpleging van het desbetreffende gegevensbestand. Art. 9 lid 1 Richtlijn Consumentenkrediet bepaalt dat iedere lidstaat ervoor zorgdraagt dat kredietgevers uit andere lidstaten toegang hebben tot de gegevensbestanden die in de lidstaat in kwestie worden gebruikt om de kredietwaardigheid van de consument te beoordelen en dat de toegangsvoorwaarden niet discriminerend mogen zijn. Art. 9 lid 4 Richtlijn Consumentenkrediet in verbinding met art. 94 lid 2 AVG bepaalt dat art. 9 Richtlijn Consumentenkrediet geen afbreuk doet aan de toepassing van de AVG.

In Nederland wordt het stelsel van kredietregistratie waaraan kredietaanbieders ter naleving van de hiervoor in 3.1.6 genoemde wet- en regelgeving deelnemen en dat zij ter uitvoering daarvan raadplegen, gevormd door het CKI van het BKR. Het CKI heeft geen wettelijke basis. Het berust op zelfregulering door de financiële sector, die de wetgever heeft aanvaard.⁷ Het BKR heeft het Algemeen reglement CKI vastgesteld (hierna: CKI-reglement).⁸ Blijkens art. 2 lid 1 CKI-reglement betreft dit een contractuele regeling die uitsluitend de verhouding tussen het BKR en zijn zakelijke klanten regelt. Art. 3 lid 1 CKI-reglement vermeldt dat de doelstelling van het BKR is gelegen in het bevorderen van een maatschappelijk verantwoorde financiële dienstverlening, dat het BKR consumenten wil behoeden voor overkreditering en andere financiële problemen en dat het BKR voor zijn zakelijke klanten een bijdrage wil leveren aan het beperken van de financiële risico’s bij kredietverlening en aan het voorkomen en bestrijden van misbruik en fraude. Dit doel van de registratie en raadpleging van persoonsgegevens in het CKI van het BKR, is in de wetsgeschiedenis ook genoemd in het kader van de zorgplicht van kredietaanbieders.⁹ Art. 3 lid 2 CKI-reglement bepaalt dat het BKR dit doel nastreeft door onder meer het verzamelen, vastleggen, ordenen, en verstrekken aan zijn zakelijke klanten van voor dit doel relevante persoonsgegevens. Art. 3 lid 4 CKI-reglement bepaalt dat de verwerking van persoonsgegevens in het CKI zijn rechtmatige grondslag vindt in art. 6 lid 1, onder f, AVG, omdat de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van het BKR en zijn zakelijke klanten.

Art. 4:32 lid 1 Wft en art. 4:34 lid 1 Wft, zoals nader uitgewerkt in art. 114 BGfo, verplichten kredietaanbieders weliswaar tot deelname aan en raadpleging van een stelsel van kredietregistratie, maar deze wettelijke bepalingen zijn niet voldoende duidelijk en nauwkeurig en de toepassing ervan is niet voldoende voorspelbaar voor degenen op wie deze wettelijke bepalingen van toepassing zijn, zoals art. 6 lid 3 AVG eist (zie hiervoor in 3.1.5). Uit die wettelijke bepalingen blijkt immers niet welke persoonsgegevens in het CKI geregistreerd moeten of mogen worden, wat de voorwaarden voor een dergelijke registratie zijn en onder welke voorwaarden en binnen welke termijnen tot verwijdering van persoonsgegevens moet worden overgegaan. Een en ander wordt wel geregeld in het CKI-reglement, maar dat reglement berust niet op een wettelijke grondslag; de registratie van persoonsgegevens in het CKI vindt plaats op grond van een overeenkomst tussen het BKR en kredietaanbieders (zie hiervoor in 3.1.8).

Bij gebreke van een wettelijke verplichting tot gegevensverwerking in de zin van art. 6 lid 1, aanhef en onder c, AVG kan die bepaling niet dienen als grondslag voor de rechtmatige verwerking van persoonsgegevens in het CKI van het BKR. Nu die gegevensverwerking evenmin berust op een van de grondslagen genoemd in art. 6 lid 1, onder a, b, d of e, AVG (zie hiervoor in 3.1.3), moet de vraag of die gegevensverwerking rechtmatig is, worden beoordeeld aan de hand van de maatstaf van art. 6 lid 1, aanhef en onder f, AVG.

Het antwoord op de eerste prejudiciële vraag luidt dat art. 6 lid 1, aanhef en onder c, AVG niet kan dienen als grondslag voor de verwerking van persoonsgegevens in het CKI van het BKR en dat die verwerking moet worden getoetst aan het bepaalde in art. 6 lid 1, aanhef en onder f, AVG.

De tweede prejudiciële vraag stelt aan de orde of het antwoord op de eerste vraag betekent dat aan degene van wie de persoonsgegevens zijn geregistreerd (a) geen recht op gegevenswissing toekomt als bedoeld in art. 17 AVG en (b) dat diegene geen recht van bezwaar toekomt als bedoeld in art. 21 AVG.

Uit art. 17 en art. 21 AVG volgt dat de betrokkene van wie persoonsgegevens zijn verwerkt op grond van art. 6 lid 1, aanhef en onder f, AVG, het recht op gegevenswissing en het recht van bezwaar heeft. Uit de beantwoording van de eerste prejudiciële vraag volgt dat art. 6 lid 1, aanhef en onder f, AVG de grondslag vormt voor de verwerking door de verwerkingsverantwoordelijke van de persoonsgegevens van de betrokkene in het CKI van het BKR. Het antwoord op de tweede prejudiciële vraag luidt dan ook dat aan de betrokkene van wie persoonsgegevens zijn geregistreerd bij het BKR (a) het recht op gegevenswissing toekomt als bedoeld in art. 17 AVG en (b) dat die betrokkene het recht van bezwaar toekomt als bedoeld in art. 21 AVG.

Opmerking verdient dat de betrokkene van wie persoonsgegevens zijn verwerkt op grond van art. 6 lid 1, aanhef en onder c, AVG niet de rechten op gegevenswissing en van bezwaar heeft die zijn opgenomen in art. 17 AVG respectievelijk art. 21 AVG. Dit betekent niet dat de betrokkene in dat geval verstoken is van rechtsbescherming. Zo kan hij zich bij de burgerlijke rechter met een beroep op art. 6:162 BW, al dan niet in verbinding met art. 8 EVRM, verzetten tegen de verwerking van zijn persoonsgegevens (vgl. hetgeen hiervoor in 3.1.2 is overwogen).

De derde prejudiciële vraag neemt tot uitgangspunt dat bij een BKR-registratie geen recht van bezwaar als bedoeld in art. 21 AVG bestaat. Omdat uit de beantwoording van de tweede vraag volgt dat bij een BKR-registratie wel een zodanig recht van bezwaar bestaat, komt de Hoge Raad aan de beantwoording van deze vraag niet toe.