Datahandel onder de loep bij Europees Hof van Justitie

In Nederland zijn vele bedrijven actief die gegevens over mensen verzamelen om aan de hand daarvan hun klanten te adviseren over hun kredietwaardigheid. Zij verzamelen persoonsgegevens achter de rug van mensen om.

In Nederland zijn onder meer de kredietinformatiebureaus Graydon, Experian, Focum en EDR actief. In Duitsland is het bedrijf Schufa bekend van de kredietwaardigheidsbeoordelingen (‘Bonitätsscore’). In een rechtszaak tegen Schufa zijn nu door de rechter vragen aan het Europese Hof gesteld, waarop wij na een inleiding zullen ingaan.

Financiële persoonsgegevens zijn het “nieuwe goud”

Bedrijven zoals Schufa verzamelen op grote schaal financiële en andere persoonsgegevens van mensen en verspreiden die gegevens op vele plaatsen zonder dat betrokkenen daar zicht op hebben.

Die persoonsgegevens, en al helemaal financiële persoonsgegevens, zijn het nieuwe ‘goud’ dat grote bedrijven en overheden graag willen delven. Dat nieuwe goud verdient dan ook een hoogwaardige bescherming. Die bescherming ontbreekt nu. Daarom besteedt Privacy First er aandacht aan, in het kader van ons focusgebied financiële privacy.

Mensen weten niet welke gegevens de kredietbeoordelaar over hen heeft ontvangen

Kenmerkend voor kredietbeoordelaars is dat het volledig schimmig is waar zij hun gegevens over mensen vandaan halen. In hun algemene voorwaarden staat dat zij hun informatie halen uit openbare bronnen, zoals het handelsregister en insolventieregister. Zij betrekken hun informatie ook uit niet-openbare bronnen, zoals hun eigen klanten en anderen die een zakelijke of financiële relatie hebben (‘derde-leveranciers’). Dat kunnen telecombedrijven zijn, maar ook advertentiebedrijven zoals Google, Meta en hun dochterondernemingen. De mensen om wie het gaat worden door de kredietbeoordelaars niet geïnformeerd over de ontvangen gegevens. Dat betekent dat het niet mogelijk is om te verifiëren of de van derde-leveranciers ontvangen gegevens juist zijn en of die derde-leveranciers die gegevens wel mochten verstrekken.

Het is onbekend bij wie de gegevens terechtkomen

Eveneens is schimmig aan wie de kredietbeoordelaars de gegevens verstrekken. Als de betrokken persoon een kredietaanvraag bij een financiële instellingen doet of een telefoonabonnement aangaat, wordt hij of zij soms wel geïnformeerd door de partij bij wie de aanvraag wordt gedaan of het abonnement wordt aangegaan.

De kredietbeoordelaar kan de persoonsgegevens ook aan andere klanten verstrekken, zonder dat de betrokkene dat weet. Op die manier kunnen vertrouwelijke gegevens bij partijen terechtkomen die daar geen recht op hebben. Het kan zelfs gebeuren dat de gegevens in criminele handen terechtkomen, zoals is gebeurd in de VS met een dochteronderneming van Experian.

‘Gerechtvaardigd belang’

De kredietbeoordelaars verschuilen zich achter een vermeend ‘gerechtvaardigd belang’ om de persoonsgegevens van derde-leveranciers te ontvangen, zonder de betrokkenen personen te informeren. Datzelfde argument gebruiken ze ook als ze financiële persoonsgegevens aan hun klanten leveren.

Riskante handel

De handel in financiële persoonsgegevens is niet gereguleerd. De kredietbeoordelaars hebben alleen met de AVG (GDPR) te maken. Die lappen ze aan hun laars, zo werd in het najaar van 2024 bekend via berichtgeving van het Financieel Dagblad ^[1]. Daaruit bleek dat aan Experian en Focum hoge boetes door de Autoriteit Persoonsgegevens zijn opgelegd. Helaas zijn die boetes niet openbaar gemaakt (anders dan in het financiële recht waarin boetes verplicht worden gepubliceerd).

Al langer is bekend dat de datahandel grote risico’s voor mensen oplevert. Zo schreef BNR in 2024 over de verkoop van locatiegegevens afkomstig van mobiele telefoons ^[2] en publiceerde RTL een artikel over de handel in adressen, ook geheime adressen ^[3], en maakte Cracked Labs bekend dat datahandelaar LiveRamp een bevolkingsregister heeft aangelegd van alle burgers ter wereld ^[4]. Ook bij datahandelaren doen zich datalekken voor, een voorbeeld is World-Check, leverancier van persoonsgegevens voor de witwasbestrijding ^[5].

Kernbeginsel AVG: je hoort te weten wat er met je financiële persoonsgegevens wordt gedaan

Een van de kernbeginselen van de AVG ^[6] is dat je als burger op de hoogte moet worden gebracht van de verspreiding van jouw gegevens en dat je die gegevens kunt inzien. Dat is belangrijk, allereerst om te kunnen zien of de gegevens juist zijn en ten tweede om te verifiëren of die gegevens terecht bij de ontvangende partij (zoals een kredietbeoordelaar) terecht zijn gekomen. Daaraan zijn onder meer het recht op inzage, het recht op rectificatie en het recht op wissen gekoppeld. Als je niet weet dat een datahandelaar jouw gegevens heeft, kan je ook niet controleren of de gegevens juist zijn en je andere rechten uitoefenen.

Verschuilen achter ‘gerechtvaardigd belang’

Ook kredietbeoordelaar Schufa en de derden-leveranciers verschuilen zich achter ‘gerechtvaardigd belang’ om achter de rug van mensen om hun financiële gegevens door te geven. In een zaak bij een Duitse rechter (het Landgericht Lübeck) kwam dit standpunt aan de orde. Een klant van een telecombedrijf (Vodafone) ontdekte dat Vodafone zonder zijn toestemming gegevens over hem aan Schufa had doorgegeven. Het ging om zijn naam, geboortedatum, adres, datum van het sluiten van het telecomcontract en contractnummer. De klant was het daar niet mee eens en is een procedure bij de rechter gestart, waarin hij van Vodafone onder meer eist dat zij stopt met gegevensverstrekking aan kredietbeoordelaars zoals Schufa.

De Duitse rechter zag hierdoor aanleiding om vragen te stellen aan het Europese Hof over de uitleg van de Europese privacyregels. De rechter vraagt zich af of Vodafone zich überhaupt wel op gerechtvaardigd belang kan beroepen, nu die bepaling niet lijkt te zijn geschreven voor massale overdracht van persoonsgegevens, zoals door telecombedrijven aan kredietbeoordelaars. Verder vraagt de rechter aan het Hof of de doorgifte door Vodafone onrechtmatig wordt nu Schufa de gegevens gebruikt voor profilering (het opstellen van een kredietwaardigheidsbeoordeling). Tot slot wordt gevraagd of de burger ook schadevergoeding kan eisen als er geen toestemming is gevraagd maar het telecombedrijf wel heeft gemeld dat zij persoonsgegevens aan de kredietbeoordelaar zal verstrekken. Meer informatie is te vinden in het Duitstalige nieuwsbericht van de Duitse rechter ^[7], waarin naar de uitspraak wordt verwezen.

Privacy First is benieuwd hoe het Europese Hof gaat beslissen.

Standpunt Privacy First over datahandel

Privacy First houdt zich al enige tijd met het onderwerp datahandel bezig, waarbij we ons met name richten op financiële privacy. In 2023 participeerde Privacy First in een wetgevingsconsultatie over de toekomst van kredietregistratie in Nederland, zie ons artikel Kredietregistratie in Nederland: BKR in huidige vorm moet verdwijnen en ons consultatiedocument destijds. Daarin bepleit Privacy First regulering van de datahandel. In 2024 stuurde Privacy First tevens een position paper^[8] naar de commissie Digitale Zaken van de Tweede Kamer, waarin we opnieuw aandrongen op regulering van de datahandel en verbetering van de handhaving.

Het is inmiddels hoog tijd dat er een einde komt aan het Wilde Westen van de handel in persoonsgegevens. Daartoe is het Europese Hof nu aan zet.

^[1] Gemeld in dit artikel: https://privacy-web.nl/nieuws/ap-treedt-op-tegen-privacypraktijken-kredietinformatiebureaus-experian-focum-en-edr/

^[2] https://www.bnr.nl/nieuws/technologie/10537256/nederlandse-telefoons-onlinestiekem-te-volgen-extreem-veiligheidsrisico

^[3] https://www.rtl.nl/boulevard/crime/artikel/5425259/geheime-adressen-bedreigde-journalisten-politici-en-advocaten-te

^[4] http://crackedlabs.org/dl/CrackedLabs_IdentitySurveillance_LiveRamp.pdf

^[5] https://techcrunch.com/2024/04/18/world-check-database-leaked-sanctions-financial-crimes-watchlist/

^[6] Artikel 13 en 14 AVG (GDPR), https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679#cpt_III.sct_2

^[7] Zie dit nieuwsbericht van Landgericht Lübeck d.d. 9 september 2025. Zaaknummer bij EU Hof: C-594/25.

^[8] Zie Paper Privacy First inzake rondetafelgesprek Verzamelwet gegevensbescherming 4 december 2024 (pdf).