Besmette persoonsgegevens – De Ziggo soap

 in Privacy
0

Klanten van Ziggo ontvingen afgelopen week een email met de aankondiging dat zij de prijs van haar abonnement met 3,50 Euro gaat verlagen. Sympathiek zou je denken. Er bleek echter een addertje onder het gras te zitten. 

In diezelfde email kondigde Ziggo aan haar algemene voorwaarden per 1 juli as eenzijdig aan te passen. Bij aanschaf van nieuwe producten en diensten zal Ziggo vanaf dan de kredietwaardigheid van de besteller controleren. Volgens haar privacyverklaring doet Ziggo dat met haar eigen gegevens en die van derden. Is de uitslag van deze controle negatief, dan mag Ziggo een nieuw abonnement weigeren. Besluitvorming op basis van een creditscore. 

Deze voorgenomen maatregel is op social media met veel verontwaardiging ontvangen. In deze bijdrage wordt bekeken of deze verontwaardiging terecht is. Dit doen we aan de hand van een analyse van de toepasselijke regelingen over algemene voorwaarden en gegevensbescherming (privacy). Maar niet voordat we kort stilstaan bij wat een creditscore nu eigenlijk inhoudt.

Creditscoring

De uitkomst van een kredietwaardigheidsonderzoek wordt ook wel een creditscore genoemd. Meestal wordt dit onderzoek uitgevoerd door een derde partij. Een hierin gespecialiseerd informatiebureau. Informatiebureaus die dergelijke diensten aanbieden zijn bijvoorbeeld Atradius en Graydon. 

Om tot een creditscore te komen, wordt een profiel van de consument opgesteld. Dit gebeurt veelal op basis van data-analyses en aan de hand van correlaties en voorspellingen. Niet alleen kan een registratie als wanbetaler bij een incassobureau invloed hebben op het resultaat van een creditscore, maar ook bijvoorbeeld de wijk waarin de betreffende consument woont. De combinatie van gegevens kan voor een bedrijf als Ziggo reden zijn om geen abonnement aan een consument te verstrekken. De vraag of de consument een goede reden had om een factuur niet te betalen wordt in het onderzoek vaak niet meegewogen. Bovendien kunnen onjuiste correlaties en voorspellingen voor een consument grote nadelige en blijvende gevolgen hebben.

Privacyrecht

Omdat voor het kredietwaarderingsonderzoek gebruikt wordt gemaakt van persoonsgegevens, is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze Europese gegevensbeschermingswet verbiedt in beginsel het verwerken van persoonsgegevens. Dit is alleen anders indien de verwerker voor die verwerking een wettelijke grondslag heeft. 

Voor persoonsgegevens die in het kader van de besluitvorming over het al dan niet honoreren van een abonnementsaanvraag worden verwerkt, zijn 3 grondslagen van belang:

  1. Er wordt een gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van een derde mee behartigd;
  2. Het is noodzakelijk voor de uitvoering van de overeenkomst;
  3. De betrokkene heeft zijn uitdrukkelijke toestemming verleend.

Voor een geslaagd beroep op de eerste grondslag (gerechtvaardigd belang), moet er aan drie cumulatieve voorwaarden zijn voldaan, zo is door het Europees Hof van Justitie bepaald. In de eerste plaats moet daadwerkelijk een gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van een derde worden behartigd (doelbinding). In de tweede plaats moet er hiervoor een noodzaak bestaan. En in de derde plaats geldt de voorwaarde dat de fundamentele rechten en vrijheden van de bij de gegevensbescherming betrokken persoon niet prevaleren.

Indien de besluitvorming automatisch plaatsvindt, dan vervalt het “gerechtvaardigd belang” als grondslag. In dat geval kan Ziggo hier dus geen beroep op doen. Aangezien het voor het accepteren van een abonnementsaanvraag niet noodzakelijk is om een geautomatiseerd besluit over de kredietwaardigheid van de betrokkene te nemen, blijft in dat geval alleen uitdrukkelijke toestemming als grondslag over. 

Ziggo zegt in haar voorwaarden dat zij is gerechtigd om een kredietwaardigheidsonderzoek uit te laten voeren of zich over de kredietwaardigheid van de Klant te laten informeren door derden. Op welke grondslag zij deze bevoegdheid en dit recht baseert, wordt niet aangegeven.

Daar komt bij dat op Ziggo een uit de AVG voortvloeiende informatieverplichting rust. Daaraan wordt niet voldaan met de enkele mededeling in haar privacyverklaring dat Ziggo kredietwaardigheidsonderzoeken uitvoert met haar eigen gegevens en die van derden. Ziggo dient meer nauwkeurig en gedetailleerd aan consumenten uit te leggen welke persoonsgegevens hiervoor worden gebruik. Ook dient zij consumenten te informeren of zij daarbij profielen van consumenten opstelt en of zij een creditscore baseert op een automatische besluitvorming.

Algemene voorwaarden

Uitdrukkelijke toestemming wordt niet gegeven met het aanvaarden van (een set van) algemene voorwaarden. Een algemene voorwaarde is een beding dat is opgesteld om in een aantal overeenkomsten te worden opgenomen. Bedingen die de kern van de prestatie aangeven, zogeheten kermbedingen, vallen daar niet onder. Of het beding een voor partijen belangrijk punt regelt, is voor die beoordeling niet maatgevend. Het is dus niet een subjectief criterium. Het gaat om een beding dat zodanig wezenlijk is, dat zonder die voorwaarde de verbintenissen onvoldoende bepaalbaar (ex. artikel 6:227 BW) zouden zijn. Of in de woorden van de Hoge Raad:

“Voor vaststelling van wat daaronder moet worden verstaan is dan ook niet bepalend of het beding in kwestie een voor de gebruiker of voor beide partijen belangrijk punt regelt, maar of het van zo wezenlijk belang is dat de overeenkomst zonder dit beding niet tot stand zou zijn gekomen of zonder dit beding niet van wilsovereenstemming omtrent het wezen van de overeenkomst sprake zou zijn.”

Het voorgaande rechtvaardigt de conclusie dat het kredietwaarderingsbeding van Ziggo geen kernbeding is. Ook zonder dit beding is de inhoud van de overeenkomst voldoende bepaalbaar. Het beding is daarmee niet van wezenlijk belang voor de tot standkoming van een abonnementsovereenkomst. Sterker, de aanwezigheid van dit beding kan de tot standkoming van een overeenkomst juist in de weg staan.

Blijft over de vraag waarom (de juristen van) Ziggo er niettemin voor heeft gekozen om het creditscore beding als algemene voorwaarde te formuleren. Daarmee trekken zij de wens om consumenten aan een kredietwaardigheidsonderzoek te onderwerpen, het strenge wettelijke regime inzake algemene voorwaarden binnen. Een regime dat de consument extra bescherming biedt. Met voor Ziggo alle mogelijk nadelige gevolgen van dien.

Een van die nadelige gevolgen is dat een consument die niet door de screening komt en geen abonnement van Ziggo mag sluiten, het creditscore beding kan vernietigen. De consument dient daarvoor aan te geven dat het beding onredelijk bezwarend is. 

Dit is een inhoudelijke toets. Er moet dus worden gekeken of de inhoud van het creditscore beding onredelijk bezwarend is. Met de schending van in ieder geval de volgende uit de AVG voortvloeiende informatieverplichtingen, lijkt dit aannemelijk:

  1. Informatie over de grondslag op basis waarvan de verwerking van persoonsgegevens in het kader van een kredietwaardigheidsonderzoek wordt uitgevoerd ontbreekt;
  2. Informatie over de daarbij gebruikte categorieën persoonsgegevens ontbreekt;
  3. Informatie over de toepassing van profilering ontbreekt.

Overigens kan een consument zich in plaats daarvan op het standpunt stellen dat het creditscore beding naar maatstaven van redelijkheid en billijkheid onaanvaardbaar is.

Conclusie

In het licht van het bovenstaande lijkt de conclusie gerechtvaardigd dat Ziggo het door haar ingezette kredietwaardigheidsonderzoek, niet in overeenstemming met de AVG uitvoert. Dit geldt temeer voor de gevallen waarin daarvoor van derden afkomstige financiële gegevens van consumenten worden gebruikt. In dat geval is het zeer aannemelijk dat de in het kader van het kredietwaarderingsonderzoek gebruikte persoonsgegevens besmet zijn. In die zin dat de door Ziggo gebruikte van derden afkomstige persoonsgegevens, reeds eerder in de keten in strijd met de AVG zijn verwerkt. 

Voor wat betreft het kredietwaardigheidsonderzoek rust op Ziggo bovendien een vergaande, uit de AVG voortvloeiende informatieplicht. Wordt hier niet aan voldaan, dan kan de corresponderende algemene voorwaarde waaraan Ziggo deze bevoegdheid ontleent onredelijk bezwarend worden geacht. Het beding kan dan worden vernietigd.

Voor wat betreft de privacyschendingen kunnen consumenten een klacht indienen bij de Autoriteit Persoonsgegevens of zich verenigen en een Collectieve Actie starten. Wij helpen u daar graag bij.

Door Sil Kingma

Sil Kingma is privacyrecht advocaat bij Cordemeyer & Slager Advocaten en voormalig hoofd van de afdeling handhaven bij de Autoriteit Persoonsgegevens.

Recente berichten
  • 4 april 2023

    INPLP Activity Report 2022

    Bob Cordemeyer
    Hereunder you can read the Activity Report 2022 from our network INPLP (International Network of Privacy Law Professionals) of which our firm is a founding member since 2015.
    Lees verder
  • 21 november 2022

    Risicomanagement: voorkom uitval door burn-out

    Marion Hagenaars
    Mirjam Scheper
    Werkend Nederland heeft steeds meer te kampen met burn-out klachten. Dit kan leiden tot (langdurig) ziekteverzuim. Een hoofdpijndossier en kostenpost voor de werkgever. En daarnaast een peperdure levensles voor de werknemer. Uitval door burn-out klachten voorkomen is dan ook beter dan genezen. Maar hoe?
    Lees verder
  • 21 november 2022

    Disfunctioneren: doorgeschoten empowermentbeleid

    Marion Hagenaars
    Mirjam Scheper
    De voorwaarden voor ontslag bij disfunctioneren zijn in de wet duidelijk omschreven. Deze voorwaarden gelden ook als een werkgever een beleid voert dat niet gericht is op dossieropbouw met waarschuwingen en berispingen, maar op aanmoediging.
    Lees verder

Plaats een reactie

Top