Recht op toegang als boemerang voor gegevensbescherming? Kredietwaardigheidsbeoordelaar verzamelt gegevens van mensen die om informatie vragen
Op 08.02.2021 heeft noyb een GDPR-klacht ingediend tegen de kredietwaardigheidsgegevensmakelaar KSV 1870. Het Oostenrijkse kredietinformatiebureau slaat gegevens op van voorheen onbekende personen die zonder toestemming gebruik maken van hun wettelijk recht op toegang tot hun gegevens.
- Download: Duitse klacht bij de Oostenrijkse gegevensbeschermingsautoriteit (PDF)
- Download: Engelse automatische vertaling van de klacht (PDF)
Recht op toegang als boemerang voor gegevensbescherming? Iedereen heeft het recht om informatie te verkrijgen over de gegevens die een bedrijf over hem verwerkt. Veel mensen zijn echter bang om informatie te vragen omdat een bedrijf misschien nog meer gegevens over hen heeft dan voorheen: Vaak moet men een identiteitsbewijs overleggen of zijn naam, adres en geboortedatum opgeven om de gevraagde informatie te krijgen. In theorie is er geen reden om bang te zijn: bedrijven mogen de gegevens uiteraard alleen gebruiken voor het verstrekken van informatie en moeten ze daarna wissen. Dit is niet het geval bij KSV, de marktleider onder de Oostenrijkse kredietinformatiebureaus:
KSV: Nieuwsgierigheid doodde de kat. De betrokkene had KSV een verzoek om toegang op grond van artikel 15 GDPR gestuurd. KSV antwoordde dat geen persoonsgegevens van de betrokkene worden verwerkt. Althans tot op heden. Maar in de volgende alinea staat: "Na ontvangst van uw verzoek worden de door u verstrekte identificatiegegevens nu in het kader van ons bedrijf verwerkt in onze commerciële databank op grond van § 152 van de Wet op de handelsreglementering."
"Deze vrijmoedigheid is verbazingwekkend. De KSV ontvangt de gegevens alleen om het verzoek om toegang te beantwoorden, maar voert ze vervolgens zonder toestemming in haar databank in. Vervolgens worden de gegevens gebruikt om kredietscores te berekenen, die KSV aan haar klanten verkoopt. Wilt u weten of KSV uw gegevens heeft? Vraag het gewoon, dan hebben ze het zeker!" Marco Blocher, advocaat gegevensbescherming bij noyb.eu
Systematisch uitmesten van de database? De aanpak van KSV is systematisch - noyb is op de hoogte van meerdere soortgelijke gevallen: Als een persoon onbekend was bij KSV, werden naam, adres en geboortedatum uit het inzageverzoek in de database opgeslagen. Als KSV de persoon al kende, werkten zij hun database bij op basis van deze informatie. De handelwijze van KSV is in strijd met het beginsel van doelbinding overeenkomstig artikel 5, lid 1, onder b), van de GDPR. Volgens dit beginsel moeten gegevens voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel worden verzameld. Verdere verwerking voor een ander doel is alleen toegestaan als deze verenigbaar is met het oorspronkelijke doel
"Mensen dienen een verzoek om toegang in om zich bewust te worden van gegevensverwerking - en om er, indien nodig, actie tegen te ondernemen. Het is gewoon grotesk dat van alle dingen dergelijke verzoeken ertoe leiden dat ze in de KSV-databank terechtkomen."Marco Blocher, advocaat gegevensbescherming bij noyb.eu
noyb houdt data brokers nauwlettend in de gaten. Datahandelsondernemingen moeten zich aan bijzonder strenge normen houden als het gaat om gegevensbescherming. Dat geldt niet alleen voor kredietinformatiebureaus en adresuitgevers, maar ook voor grote tech- en socialemediabedrijven. Aangezien deze bedrijven toegang hebben tot enorme hoeveelheden gegevens, is het des te belangrijker om er zeer zorgvuldig mee om te gaan
"Helaas hebben veel zogenaamde "datagedreven bedrijven" een totaal verkeerd zelfbeeld. Als ze eenmaal over gegevens beschikken, doen ze in wezen wat ze willen - ongeacht waarom of hoe ze er oorspronkelijk aan gekomen zijn. De GDPR heeft concepten zoals doelbeperking ingevoerd om dit te voorkomen. In werkelijkheid trekken ze zich daar niet al te veel van aan." Marco Blocher, advocaat gegevensbescherming bij noyb.eu