Expensive boete voor Experian

Experian is een handelsinformatiebureau dat tot 1 januari 2025 onder meer de dienst Credit Check aanbood. Via deze dienst konden klanten van Experian informatie verkrijgen over de kredietwaardigheid van consumenten. De informatie zag onder meer op negatief betaalgedrag, openstaande schulden en faillissementen. Die informatie werd vervolgens door klanten gebruikt bij beslissingen over het al dan niet aangaan van overeenkomsten met de betreffende consumenten, bijvoorbeeld kredietverlening of verkoop op afbetaling.

De AP onderzocht zowel de grondslag waarop Experian persoonsgegevens verwerkte als de wijze waarop betrokken consumenten werden geïnformeerd over de gegevensverwerkingen. Experian stelde zich op het standpunt dat de verwerking was gebaseerd op het gerechtvaardigd belang van zowel Experian als haar klanten om kredietrisico’s te beperken en overkreditering te voorkomen.

De AP concludeerde dat Experian niet voldeed aan de voorwaarden voor een geslaagd beroep op het gerechtvaardigd belang. Hoewel de AP erkende dat kredietverstrekkers een gerechtvaardigd belang kunnen hebben bij het beoordelen van kredietrisico’s, vond zij dat Experian zelf niet voldeed aan de vereisten van noodzakelijkheid en de belangenafweging. De verwerking zag immers op gevoelige financiële gegevens die een aanzienlijke inbreuk kunnen vormen op de persoonlijke levenssfeer van de betrokken consumenten. Bovendien bestond er geen directe relatie tussen Experian en de consumenten, waardoor zij redelijkerwijs niet konden verwachten dat hun gegevens op deze manier zouden worden verwerkt.

Daarnaast stelde de AP vast dat Experian tekortschoot in haar informatieplicht (artikelen 12, 13 en 14 AVG). De consumenten werden onvoldoende geïnformeerd over de doeleinden, rechtsgronden en hun rechten. Experian kon ook niet aantonen dat zij op passende wijze aan deze verplichting had voldaan.

Naar aanleiding van het oorspronkelijke besluit heeft Experian haar informatievoorziening verbeterd en per 1 januari 2025 haar activiteiten als kredietinformatiebureau in Nederland beëindigd. Experian heeft aan de AP toegelicht hoe haar database gefaseerd wordt afgebouwd en persoonsgegevens definitief worden verwijderd. Desondanks stelt de AP een boetebedrag vast.

Omdat Experian onderdeel is van de internationale Experian Group, moest voor het maximumbedrag rekening worden gehouden met de groepsomzet. Voor de feitelijke berekening keek de AP echter naar de economische draagkracht van Experian Nederland zelf. Uiteindelijk achtte de toezichthouder een boete van € 2,7 miljoen passend en geboden.

Het boetebesluit komt niet als een verrassing, maar onderstreept wel opnieuw dat een beroep op het gerechtvaardigd belang niet zonder meer slaagt. Verwerkingsverantwoordelijken moeten concreet aantonen – ook al op het moment van gegevensverzameling (zie ook Mousse/CNIL) – welk specifieke belangen zij behartigen, waarom de verwerking noodzakelijk is en hoe de belangen en rechten van betrokkenen zijn gewogen en beschermd.

Bovendien wordt in dit boetebesluit wederom duidelijk dat de transparantieverplichtingen ook bij indirecte gegevensverzameling bijzonder zwaar wegen. Organisaties dienen actief te informeren — niet slechts via algemene websites of moeilijk vindbare verklaringen. In eerdere Europese rechtspraak (zie Fashion ID) kwam al naar voren dat partijen weliswaar afspraken kunnen maken over wie welke informatie verstrekt aan betrokkenen, maar dat beide partijen zelfstandig verantwoordelijk blijven voor het nakomen van hun informatieplichten en andere verplichtingen onder de AVG.

Voor datahandelaren, kredietinformatiebureaus en vergelijkbare partijen betekent dit dat de lat hoog ligt. Het ontbreken van een grondslag en heldere informatie kan leiden tot forse sancties, ook wanneer het gaat om verwerkingen met mogelijk een relevant doel zoals fraudepreventie of kredietbescherming.

De beslissing tegen Experian past in een bredere Europese ontwikkeling waarin toezichthouders streng toetsen op de rechtmatigheid en proportionaliteit van verwerkingen gebaseerd op gerechtvaardigd belang. Bedrijven doen er goed aan hun gegevensverwerkingen kritisch te toetsen, zeker waar indirecte gegevensverzameling of profilering plaatsvindt. Een periodieke rechtmatigheidstoets en het blijven evalueren van de risicobeoordeling(en), zijn daarbij onmisbaar.