Feedback

Zoekresultaat - inzien document

ECLI:NL:HR:2021:1814

Instantie
Hoge Raad
Datum uitspraak
03-12-2021
Datum publicatie
03-12-2021
Zaaknummer
21/00241
Formele relaties
Conclusie: ECLI:NL:PHR:2021:831
Rechtsgebieden
Civiel recht
Bijzondere kenmerken
Prejudiciële beslissing
Inhoudsindicatie

Prejudiciële vragen (art. 392 Rv). Algemene verordening gegevensbescherming (AVG). Rechtsgrond voor de verwerking van persoonsgegevens in het kredietregistratiestelsel van het BKR; art. 6 lid 1, onder c, AVG (wettelijke grondslag) of art. 6 lid 1, onder f, AVG (ter behartiging van gerechtvaardigde belangen van de verwerker)? Recht op gegevenswissing (art. 17 AVG); recht van bezwaar (art. 21 AVG)?

Vindplaatsen
Rechtspraak.nl
NJB 2021/3268
RvdW 2021/1181
JBP 2022/2
NTHR 2022, afl. 1, p. 30
JOR 2022/63 met annotatie van Waesberge, C.E.F van
JIN 2022/27 met annotatie van Volleberg, D.S.
JONDR 2022/239
Verrijkte uitspraak

Uitspraak

HOGE RAAD DER NEDERLANDEN

CIVIELE KAMER

Nummer 21/00241

Datum 3 december 2021

PREJUDICIËLE BESLISSING

In de zaak van

[verzoeker],
wonende te [woonplaats],

EISER in eerste aanleg,

hierna: [verzoeker],

niet verschenen in de prejudiciële procedure,

tegen

de rechtspersoon naar Zweeds recht HOIST FINANCE AB,
gevestigd te Amsterdam,

GEDAAGDE in eerste aanleg,

hierna: Hoist,

advocaat in de prejudiciële procedure: J.W.H. van Wijk.

1. De prejudiciële procedure

Bij tussenvonnis in de zaak C/13/694440 / KG ZA 20-1118 MvW/JE van 21 januari 2021 heeft de voorzieningenrechter in de rechtbank Amsterdam op de voet van art. 392 RV prejudiciële vragen aan de Hoge Raad gesteld.

Hoist heeft schriftelijke opmerkingen als bedoeld in art. 393 lid 1 Rv ingediend.

De conclusie van de Advocaat-Generaal E.B. Rank-Berenschot strekt tot beantwoording van de prejudiciële vragen als vermeld in de conclusie onder 3.17, 3.19 en 3.21.

De advocaat van Hoist heeft schriftelijk op die conclusie gereageerd.

2 Uitgangspunten en feiten

2.1

Deze prejudiciële beslissing gaat over de vraag aan welke van de in art. 6 Algemene verordening gegevensbescherming1 (hierna: AVG) genoemde gronden een registratie bij de Stichting Bureau Kredietregistratie (hierna: het BKR) moet worden getoetst. Vindt registratie bij het BKR plaats ter nakoming van een wettelijke plicht in de zin van art. 6 lid 1, onder c, AVG, of ter behartiging van gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde in de zin van art. 6 lid 1, onder f, AVG? Het antwoord op deze vraag is onder meer van belang voor de aanspraak van de kredietnemer op het wissen van zijn persoonsgegevens op grond van art. 17 AVG, en voor de mogelijkheid van de kredietnemer om bezwaar te maken tegen de verwerking van zijn persoonsgegevens op grond van art. 21 AVG.

2.2

Bij de beantwoording van de prejudiciële vragen gaat de Hoge Raad uit van de volgende feiten:

(i) Het BKR heeft een Centraal Krediet Informatie Systeem (hierna: het CKI). In dit systeem worden betalingsachterstanden of andere onregelmatigheden die ontstaan tijdens de looptijd van een kredietovereenkomst, met bijzonderheidscoderingen vermeld (hierna: de BKR-registratie).

(ii) [verzoeker] heeft een krediet afgesloten bij (een rechtsvoorganger van) Hoist. Nadat een betalingsachterstand was ontstaan, heeft Hoist in juli 2006 het krediet opgeëist.

(iii) In mei 2006 is in het CKI in verband met het verleende krediet onder de naam van [verzoeker] de bijzonderheidscode ‘A’ genoteerd. Deze codering betekent dat sprake is van een achterstand. Kort erna is aan de BKR-registratie van [verzoeker] een ‘2-codering’ toegevoegd, hetgeen inhoudt dat sprake is van een opgeëiste vordering.

(iv) Op 1 juni 2017 is aan de BKR-registratie van [verzoeker] een ‘3-codering’ toegevoegd, wat betekent dat een bedrag groter dan € 250,-- op het krediet moest worden afgeboekt.

(v) Op 27 juni 2017 heeft NDA Incasso, aan wie Hoist de vordering uit handen had gegeven en die met [verzoeker] een betalingsregeling was overeengekomen, aan [verzoeker] bericht dat de gehele vordering was voldaan.

(vi) In juli 2020 heeft Hoist aan [verzoeker] bericht, naar aanleiding van een door [verzoeker] daartoe gedaan verzoek, dat zij de 3-codering in de BKR-registratie van [verzoeker] zou laten verwijderen.

(vii) Op 10 september 2020 heeft [verzoeker] opnieuw een verzoek tot verwijdering van de BKR-registratie ingediend bij Hoist. Dit verzoek heeft Hoist bij e-mail van 21 september 2020 afgewezen.

2.3

In dit kort geding vordert [verzoeker] dat Hoist wordt opgedragen de BKR-registratie te doen wijzigen, in die zin dat de codes 2 en A achter zijn naam worden verwijderd. Hoist heeft zich tegen die vordering verweerd, onder meer met een beroep op niet-ontvankelijkheid op de grond dat [verzoeker] niet binnen zes weken in rechte is opgekomen tegen de afwijzende beslissing van 21 september 2020 op zijn tweede verwijderingsverzoek (zie hiervoor in 2.2 onder (vii)), zoals wordt voorgeschreven in art. 35 lid 2 van de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG).

2.4

De voorzieningenrechter heeft bij tussenvonnis2 op de voet van art. 392 e.v. Rv de volgende prejudiciële vragen gesteld aan de Hoge Raad.

1. Moet de verwerking van concrete persoonsgegevens door een kredietinstelling, door middel van een individuele registratie in het systeem van BKR, worden getoetst aan het bepaalde in art. 6 lid 1, aanhef en onder c, AVG, of aan art. 6 lid 1, aanhef en onder f, AVG, of aan beide bepalingen?

2. Betekent het antwoord op vraag 1:

a. dat aan degene van wie de persoonsgegevens zijn geregistreerd, geen beroep toekomt op het recht van gegevenswissing als bedoeld in art. 17 AVG?

b. dat aan diegene geen recht van bezwaar toekomt als bedoeld in art. 21 AVG?

3. Indien het antwoord op vraag 2b meebrengt dat bij een BKR-registratie geen recht van bezwaar als bedoeld in art. 21 AVG bestaat, leidt dat er dan toe dat art. 35 UAVG in de gerechtelijke procedure tot verwijdering van die registratie geen rol speelt?

3 Beantwoording van de prejudiciële vragen

3.1.1

De eerste prejudiciële vraag stelt aan de orde of de verwerking van persoonsgegevens door een kredietinstelling door middel van een individuele registratie in het systeem van het BKR, moet worden getoetst aan het bepaalde in art. 6 lid 1, aanhef en onder c, AVG, of aan art. 6 lid 1, aanhef en onder f, AVG, of aan beide bepalingen.

3.1.2

Bescherming van persoonsgegevens is een grondrecht dat wordt beschermd door art. 8 EVRM, dat voorziet in het recht op eerbiediging van privé-, familie- en gezinsleven, art. 16 lid 1 van het Verdrag betreffende de werking van de Europese Unie en art. 8 lid 1 van het Handvest van de grondrechten van de Europese Unie, waarin is bepaald dat eenieder recht heeft op bescherming van zijn persoonsgegevens. In zijn beschikking van 9 september 2011 heeft de Hoge Raad onder vigeur van de inmiddels vervallen Wet bescherming persoonsgegevens (hierna: Wbp) en de inmiddels ingetrokken Richtlijn bescherming persoonsgegevens3 geoordeeld dat, mede in het licht van art. 8 EVRM, bij elke gegevensverwerking moet zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit en dat dit meebrengt dat de inbreuk op de belangen van de betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel en dat dit doel in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze kan worden bereikt.4 Een en ander geldt ook onder de AVG, die in de plaats is gekomen van de Richtlijn bescherming persoonsgegevens en de Wbp.

3.1.3

Art. 6 lid 1 AVG bepaalt dat de verwerking van persoonsgegevens alleen rechtmatig is indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

Het bepaalde onder f geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

Deze grondslagen voor de verwerking van persoonsgegevens sluiten elkaar niet uit, zo volgt uit de woorden ‘ten minste’ in art. 6 lid 1 AVG, zodat het mogelijk is dat een verwerking van persoonsgegevens onder meer dan één verwerkingsgrondslag valt.

3.1.4

Op grond van art. 6 lid 1, aanhef en onder c, AVG is de verwerkingsverantwoordelijke gerechtigd om persoonsgegevens te verwerken als dit noodzakelijk is om te voldoen aan een wettelijke plicht die op hem rust. Uit de memorie van toelichting op de UAVG blijkt dat de Nederlandse wetgever de eis van noodzakelijkheid zo heeft opgevat dat daaraan is voldaan als zonder verwerking van de persoonsgegevens het uitvoeren van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, redelijkerwijs niet goed mogelijk is.5

3.1.5

Art. 6 lid 3 AVG bepaalt, voor zover voor de beantwoording van de prejudiciële vragen van belang, dat de wettelijke verplichting als bedoeld in art. 6 lid 1, aanhef en onder c, AVG moet worden vastgesteld bij Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is, welk Unierecht of lidstatelijk recht ook het doel van de verwerking moet vaststellen. In punt 41 van de considerans van de AVG is vermeld dat wanneer in de AVG naar een rechtsgrond of een wetgevingsmaatregel wordt verwezen, dit niet noodzakelijkerwijs een door een parlement vastgestelde wetgevingshandeling vereist. De rechtsgrond of wetgevingsmaatregel moet evenwel duidelijk en nauwkeurig zijn, en de toepassing daarvan moet voorspelbaar zijn voor degenen op wie deze van toepassing is, zoals gëeist door de rechtspraak van het Hof van Justitie van de Europese Unie en het Europese Hof voor de Rechten van de Mens, aldus de considerans. Voorts vermeldt punt 45 van de considerans van de AVG dat de AVG niet voor elke afzonderlijke gegevensverwerking specifieke wetgeving vereist, maar dat kan worden volstaan met wetgeving die als basis fungeert voor verscheidene gegevensverwerkingen op grond van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.

3.1.6

Art. 4:32 lid 1 Wet op het financieel toezicht (hierna: Wft) schrijft voor dat een aanbieder van krediet deelneemt aan een stelsel van kredietregistratie. Art. 4:34 lid 1 Wft bevat een zorgplicht ter voorkoming van overkreditering en verplicht een aanbieder van krediet in het belang van de consument informatie in te winnen over diens financiële positie en te beoordelen of de kredietverlening verantwoord is. De uit dit artikel voortvloeiende zorgplicht is nader uitgewerkt in art. 114 van het Besluit Gedragstoezicht financiële ondernemingen Wft (hierna: BGfo). Daarin is bepaald dat een aanbieder van krediet, voorafgaand aan het verstrekken van een krediet van meer dan € 250,-- het stelsel van kredietregistratie moet raadplegen over reeds aan de consument verleende kredieten. Art. 4:34 lid 2 Wft bepaalt, kort gezegd, dat een kredietaanbieder geen krediet verstrekt indien dit, met het oog op overkreditering van de consument, onverantwoord is. Deze weigeringsplicht is nader uitgewerkt in art. 113 lid 1 BGfo. Daarin is bepaald dat een aanbieder van krediet aan een consument geen krediet verstrekt van meer dan € 1.000,-- indien de aanbieder niet beschikt over voldoende informatie over de financiële positie van de consument om, ter voorkoming van overkreditering, te kunnen beoordelen of het aangaan van de overeenkomst verantwoord is.

3.1.7

De zorgplicht ter voorkoming van overkreditering is mede gebaseerd op Richtlijn 2008/48/EG6 (hierna: Richtlijn Consumentenkrediet). Art. 8 lid 1 Richtlijn Consumentenkrediet bepaalt dat lidstaten ervoor zorgen dat de kredietgever de kredietwaardigheid van de consument voor het sluiten van de kredietovereenkomst beoordeelt op basis van toereikende informatie die, in voorkomend geval, is verkregen van de consument en, waar nodig, op basis van een raadpleging van het desbetreffende gegevensbestand. Art. 9 lid 1 Richtlijn Consumentenkrediet bepaalt dat iedere lidstaat ervoor zorgdraagt dat kredietgevers uit andere lidstaten toegang hebben tot de gegevensbestanden die in de lidstaat in kwestie worden gebruikt om de kredietwaardigheid van de consument te beoordelen en dat de toegangsvoorwaarden niet discriminerend mogen zijn. Art. 9 lid 4 Richtlijn Consumentenkrediet in verbinding met art. 94 lid 2 AVG bepaalt dat art. 9 Richtlijn Consumentenkrediet geen afbreuk doet aan de toepassing van de AVG.

3.1.8

In Nederland wordt het stelsel van kredietregistratie waaraan kredietaanbieders ter naleving van de hiervoor in 3.1.6 genoemde wet- en regelgeving deelnemen en dat zij ter uitvoering daarvan raadplegen, gevormd door het CKI van het BKR. Het CKI heeft geen wettelijke basis. Het berust op zelfregulering door de financiële sector, die de wetgever heeft aanvaard.7 Het BKR heeft het Algemeen reglement CKI vastgesteld (hierna: CKI-reglement).8 Blijkens art. 2 lid 1 CKI-reglement betreft dit een contractuele regeling die uitsluitend de verhouding tussen het BKR en zijn zakelijke klanten regelt. Art. 3 lid 1 CKI-reglement vermeldt dat de doelstelling van het BKR is gelegen in het bevorderen van een maatschappelijk verantwoorde financiële dienstverlening, dat het BKR consumenten wil behoeden voor overkreditering en andere financiële problemen en dat het BKR voor zijn zakelijke klanten een bijdrage wil leveren aan het beperken van de financiële risico’s bij kredietverlening en aan het voorkomen en bestrijden van misbruik en fraude. Dit doel van de registratie en raadpleging van persoonsgegevens in het CKI van het BKR, is in de wetsgeschiedenis ook genoemd in het kader van de zorgplicht van kredietaanbieders.9 Art. 3 lid 2 CKI-reglement bepaalt dat het BKR dit doel nastreeft door onder meer het verzamelen, vastleggen, ordenen, en verstrekken aan zijn zakelijke klanten van voor dit doel relevante persoonsgegevens. Art. 3 lid 4 CKI-reglement bepaalt dat de verwerking van persoonsgegevens in het CKI zijn rechtmatige grondslag vindt in art. 6 lid 1, onder f, AVG, omdat de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van het BKR en zijn zakelijke klanten.

3.1.9

Art. 4:32 lid 1 Wft en art. 4:34 lid 1 Wft, zoals nader uitgewerkt in art. 114 BGfo, verplichten kredietaanbieders weliswaar tot deelname aan en raadpleging van een stelsel van kredietregistratie, maar deze wettelijke bepalingen zijn niet voldoende duidelijk en nauwkeurig en de toepassing ervan is niet voldoende voorspelbaar voor degenen op wie deze wettelijke bepalingen van toepassing zijn, zoals art. 6 lid 3 AVG eist (zie hiervoor in 3.1.5). Uit die wettelijke bepalingen blijkt immers niet welke persoonsgegevens in het CKI geregistreerd moeten of mogen worden, wat de voorwaarden voor een dergelijke registratie zijn en onder welke voorwaarden en binnen welke termijnen tot verwijdering van persoonsgegevens moet worden overgegaan. Een en ander wordt wel geregeld in het CKI-reglement, maar dat reglement berust niet op een wettelijke grondslag; de registratie van persoonsgegevens in het CKI vindt plaats op grond van een overeenkomst tussen het BKR en kredietaanbieders (zie hiervoor in 3.1.8).

3.1.10

Bij gebreke van een wettelijke verplichting tot gegevensverwerking in de zin van art. 6 lid 1, aanhef en onder c, AVG kan die bepaling niet dienen als grondslag voor de rechtmatige verwerking van persoonsgegevens in het CKI van het BKR. Nu die gegevensverwerking evenmin berust op een van de grondslagen genoemd in art. 6 lid 1, onder a, b, d of e, AVG (zie hiervoor in 3.1.3), moet de vraag of die gegevensverwerking rechtmatig is, worden beoordeeld aan de hand van de maatstaf van art. 6 lid 1, aanhef en onder f, AVG.

3.1.11

Het antwoord op de eerste prejudiciële vraag luidt dat art. 6 lid 1, aanhef en onder c, AVG niet kan dienen als grondslag voor de verwerking van persoonsgegevens in het CKI van het BKR en dat die verwerking moet worden getoetst aan het bepaalde in art. 6 lid 1, aanhef en onder f, AVG.

3.2.1

De tweede prejudiciële vraag stelt aan de orde of het antwoord op de eerste vraag betekent dat aan degene van wie de persoonsgegevens zijn geregistreerd (a) geen recht op gegevenswissing toekomt als bedoeld in art. 17 AVG en (b) dat diegene geen recht van bezwaar toekomt als bedoeld in art. 21 AVG.

3.2.2

Art. 21 lid 1 AVG bepaalt dat een betrokkene te allen tijde het recht heeft om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van art. 6 lid 1, aanhef en onder e en f, AVG en dat de verwerkingsverantwoordelijke de verwerking van de persoonsgegevens dan staakt, tenzij deze dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.

Art. 17 lid 1, aanhef en onder c, AVG houdt in, voor zover voor de beantwoording van de prejudiciële vragen van belang, dat de verwerkingsverantwoordelijke op verzoek van de betrokkene verplicht is persoonsgegevens zonder onredelijke vertraging te wissen, onder meer indien de betrokkene overeenkomstig art. 21 lid 1 AVG bezwaar maakt tegen de verwerking, en er geen prevalerende dwingende gerechtvaardigde gronden zijn voor de verwerking.

3.2.3

Uit art. 17 en art. 21 AVG volgt dat de betrokkene van wie persoonsgegevens zijn verwerkt op grond van art. 6 lid 1, aanhef en onder f, AVG, het recht op gegevenswissing en het recht van bezwaar heeft. Uit de beantwoording van de eerste prejudiciële vraag volgt dat art. 6 lid 1, aanhef en onder f, AVG de grondslag vormt voor de verwerking door de verwerkingsverantwoordelijke van de persoonsgegevens van de betrokkene in het CKI van het BKR. Het antwoord op de tweede prejudiciële vraag luidt dan ook dat aan de betrokkene van wie persoonsgegevens zijn geregistreerd bij het BKR (a) het recht op gegevenswissing toekomt als bedoeld in art. 17 AVG en (b) dat die betrokkene het recht van bezwaar toekomt als bedoeld in art. 21 AVG.

3.2.4

Opmerking verdient dat de betrokkene van wie persoonsgegevens zijn verwerkt op grond van art. 6 lid 1, aanhef en onder c, AVG niet de rechten op gegevenswissing en van bezwaar heeft die zijn opgenomen in art. 17 AVG respectievelijk art. 21 AVG. Dit betekent niet dat de betrokkene in dat geval verstoken is van rechtsbescherming. Zo kan hij zich bij de burgerlijke rechter met een beroep op art. 6:162 BW, al dan niet in verbinding met art. 8 EVRM, verzetten tegen de verwerking van zijn persoonsgegevens (vgl. hetgeen hiervoor in 3.1.2 is overwogen).

3.3

De derde prejudiciële vraag neemt tot uitgangspunt dat bij een BKR-registratie geen recht van bezwaar als bedoeld in art. 21 AVG bestaat. Omdat uit de beantwoording van de tweede vraag volgt dat bij een BKR-registratie wel een zodanig recht van bezwaar bestaat, komt de Hoge Raad aan de beantwoording van deze vraag niet toe.

3 Beslissing

De Hoge Raad:

- beantwoordt de vragen op de hiervoor in 3.1.11 en 3.2.3 weergegeven wijze;

- begroot de kosten van deze procedure op de voet van art. 393 lid 10 Rv op € 1.800,-- aan de zijde van Hoist en op nihil aan de zijde van [verzoeker].

Deze beslissing is gegeven door de vicepresident M.V. Polak als voorzitter en de raadsheren C.E. du Perron, M.J. Kroeze, H.M. Wattendorff en G.C. Makkink, en in het openbaar uitgesproken door de raadsheer H.M. Wattendorff op 3 december 2021.

1 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), PbEU 2016, L 119/1.

2 Rechtbank Amsterdam 21 januari 2021, ECLI:NL:RBAMS:2021:174.

3 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PbEG 1995, L 281/31.

4 HR 9 september 2011, ECLI:NL:HR:2011:BQ8097 (Santander), rov. 3.3.

5 Kamerstukken II 2017/18, 34851, nr. 3, p. 35.

6 Richtlijn 2008/48/EG van het Europees Parlement en de Raad van 23 april 2008 inzake kredietovereenkomsten voor consumenten en tot intrekking van Richtlijn 87/102/EEG van de Raad, PbEU 2008, L 133/66.

7 Zie Kamerstukken II 1986/87, 19785, nr. 3, p. 14-15; Kamerstukken II 1987/88, 19785, nr. 7, p. 10-11.

8 Stichting BKR, Algemeen Reglement CKI, 1 januari 2021, te raadplegen via www.bkr.nl.

9 Zie onder meer Kamerstukken II 2003/04, 29507, nr. 3, p. 18; Kamerstukken II 2009/10, 32339, nr. 3, p. 36.