www.belgium.be logo BE

    GEANNOTEERD WETBOEK VAN KREDIETEN AAN CONSUMENTEN

    Verwerking van gegevens verzameld naar aanleiding van de verstrekking van een gereglementeerd krediet

    Definitie

    Artikel I.9, 56° - Verwerking van gegevens

    de verwerking van persoonsgegevens omschreven in artikel 1, § 2, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens;

     

     

    Verwerking en bewaring van gegevens bij gereglementeerde kredieten

     

     

    Het wettelijke kader

    Kredietgevers en tussenpersonen moeten persoonsgegevens verzamelen van de consument en de zekerheidssteller (VII.69 en VII.126) om hun kredietwaardigheid te beoordelen (VII.77 en VII.133) en hen een krediettype en een kredietbedrag voor te stellen die aangepast zijn aan hun financiële situatie en aan het doel van het krediet (VII.75 en VII.131). Kredietverleners verzamelen zo een groot aantal persoonsgegevens. Deze hebben betrekking op de identiteit, de samenstelling van het gezin, de oorsprong en de aard van inkomsten en schulden, uitgaven en levensgewoonten, plannen, enz.

    Het algemene kader voor de verwerking van persoonsgegevens wordt bepaald door de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG  ("General Data Protection Regulation" dikwijls GDPR genoemd ), die sedert 25 mei 2018 rechtstreeks van toepassing is in de rechtssystemen van de Lidstaten.

    Daarvoor werd het algemene kader verstrekt door de wet van 8 december 1992 inzake de bescherming van de persoonlijke levenssfeer. Die wet was de omzetting van Richtlijn 95/46. Daarnaast waren een aantal bijzondere bepalingen opgenomen in de WCK. De omkadering van deze gegevensverwerking door de wetgever voor de gereglementeerde kredieten nam twee vormen aan die bijna haaks op elkaar staan. Enerzijds wou de wetgever de strikte vertrouwelijkheid van de gegevens garanderen die door de consument worden verstrekt. Anderzijds wil de wetgever in de strijd tegen overmatige schuldenlast ook (in eerste instantie) een zekere bekendmaking mogelijk maken bij wanbetaling en het niet-nakomen van verplichtingen door consumenten inzake gereglementeerde kredieten (sedert 2001). De wet van 8 december 1992 werd opgeheven door de wet van 30 juli 2018 betreffende de bescherming van de natuurlijke personen bij de verwerking van persoonsgegevens.

    De bepalingen van het WER inzake de gegevensverwerking werden sedert de invoegetreding van de GDPR niet aangepast. Ze moeten bijgevolg worden geïnterpreteerd in het licht van de GDPR. De GDPR creëerde een uniform kader op Europees niveau voor de bescherming van de gegevens van natuurlijke personen (zie de doelstelling uiteengezet in overweging 13). In het rechtsstelsel heeft een Europese verordening voorrang op alle nationale reglementeringen. De AVG heeft bijgevolg voorrang op de bepalingen die in het WER betrekking hebben op de verwerking van gegevens. Als tegenstrijdige of onverenigbare bepalingen niet worden gewijzigd, kunnen ze niet langer worden toegepast. De bepalingen van het WER die verband houden met gegevensverwerking blijven dus van toepassing als het bijkomende bepalingen betreft die niet in strijd zijn met de AVG en niet door identieke bepalingen van de AVG zijn vervangen.


     

    Ontstaan

     

    Verwerking van gegevens bij gereglementeerde kredieten

    Wat persoonsgegevens betreft, maakt de wetgever zich vooral zorgen over de circulatie en de centralisatie van de gegevens. Aan de ene kant legt het WER de kredietgever en de kredietmakelaar de verplichting op om alle gegevens te verzamelen die noodzakelijk zijn om de geschiktheid van een krediet te beoordelen. Aan de andere kant beperkt het wetboek de circulatie van de gegevens tot een kleine groep die uit welbepaalde derde partijen bestaat en de gegevens voor welbepaalde doeleinden gebruikt. Elk ander gebruik van de gegevens is verboden. De persoonsgegevens moeten bijgevolg de interne bestanden van de beroepsbeoefenaars niet verlaten. De externe bestanden (de bestanden die aan derden overgemaakt mogen worden), mogen slechts de gegevens bevatten die op beperkende wijze in de wet zijn opgesomd.

    De bepalingen van de regeling voor gereglementeerde consumentenkredieten zijn opgenomen in twee onderafdelingen:

    • een eerste onderafdeling getiteld Overmaking van persoonsgegevens (VII.116 tot VII.119 [CK] tot VII.147/32 tot VII.147/35 [HK] verduidelijkt de regels betreffende externe bestanden die uitsluitend welbepaalde gegevens mogen bevatten en die uitsluitend aan welbepaalde derde partijen voor welbepaalde doeleinden mogen worden overgemaakt.
    • een tweede onderafdeling getiteld Verwerking van gegevens (VII.120 tot VII.122 [CK] en VII.147/36 tot VII.147/38 [HK]) die van toepassing is op zowel externe bestanden als op interne bestanden en waarin overigens nogmaals de beginselen van de GDPR worden uiteengezet.

    In de strijd tegen kredietmisbruik riep de wetgever een nationaal register in het leven waarin een aantal persoonsgegevens van de kredietnemer zijn opgenomen: de Centrale voor Kredieten aan Particulieren, met de Nationale Bank als overkoepelend orgaan en oorspronkelijk opgericht per koninklijk besluit van 15 april 1985. De bedoeling was om zekere wanbetalingen met betrekking tot verkoopovereenkomsten, persoonlijke leningen en leningen op afbetaling te registreren. De wet van 10 augustus 2001 inzake de Centrale voor Kredieten aan Particulieren (CKP) breidde de activiteiten van de Centrale uit en voegde zo een positief perspectief toe.  De Centrale registreert voor alle kredietovereenkomsten een aantal bij wet bepaalde gegevens (consumentenkredieten en hypothecaire kredieten) - het positieve onderdeel - en voor wanbetalingen in het kader van die overeenkomsten - het negatieve onderdeel. De bepalingen betreffende de Centrale voor Kredieten aan Particulieren maken thans deel uit van hoofdstuk 3 van  titel 4 van Boek VII van het Wetboek van economisch recht.

    Zie de commentaar over de werking van de Centrale.

     

     

    De GDPR, het algemene kader

    De Europese wetgever ziet de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens als een grondrecht. Dat grondrecht is opgenomen in artikel 8, paragraaf 1 van het Handvest van de grondrechten van de Europese Unie en in artikel 16, paragraaf 1 van het Verdrag betreffende de Werking van de Europese Unie. Als gevolg van de technologische evolutie en de spectaculaire stijging van het gebruik van persoonsgegevens achtte de Europese wetgever het noodzakelijk om het kader dat door Richtlijn 95/46/EG werd geschapen, te herzien. De GDPR herziet op een nogal fundamentele wijze de verplichtingen  van de verwerkingsverantwoordelijken en van hun subverwerkers.

    Een meer gedetailleerde commentaar bij de GDPR vindt men op de site van de Gegevensbeschermingsautoriteit. Deze instelling werd opgericht door de wet van 3 december 2017 (Wet tot oprichting van de Gegevensbeschermingsautoriteit, B.S. van 10 januari 2018) en is de opvolger van de Commissie voor de bescherming van de persoonlijke levenssfeer:  https://www.gegevensbeschermingsautoriteit.be/

     

     

    De definities

     

    Algemene beginselen van toepassing op de verwerking van persoonsgegevens

     

    De rechtsgronden voor een rechtmatige verwerking

    Volgens artikel 5.1, a) van de  GDPR moet de verwerking van persoonsgegevens rechtmatig
    om te worden toegestaan. Artikel 6.1 van de  GDPR bepaalt dat de verwerking rechtmatig is wanneer deze gebaseerd is op een van de zes daarin genoemde rechtsgrondslagen:

    1. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden (art.6.1, a. GDPR). Om als geldig te worden beschouwd, moet de toestemming aan bepaalde voorwaarden van de GDPR voldoen.  De aldus gegeven toestemming kan te allen tijde worden ingetrokken
    2. de verwerking  is noodzakelijk voor de uitvoering van een overeenkomst waarbij  de betrokkene  partij is, of om op  verzoek  van de betrokkene  vóór de sluiting  van een overeenkomst maatregelen te nemen (art. 6.1, b, GDPR).

    3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
      Voor zover de bepalingen van het WEB (VII.69 en VII.126) beroepsbeoefenaren verplichten om persoonsgegevens te verzamelen met het oog op de beoordeling van de solvabiliteit, vormen deze bepalingen de basis voor de legitimiteit van de verwerking van de gegevens die nodig zijn voor gereglementeerde kredieten.
    4. de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen (art. 6.1, d, GDPR).

    5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
    6. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen
        van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

     

     

    De gegevensverwerking dient rechtmatig, behoorlijk en transparant te zijn

    Artikel 5.1 a) van de verordening schrijft voor dat met de verzamelde gegevens op een rechtmatige, behoorlijke en transparante manier moet worden omgegaan.

    Het principe van rechtmatigheid werd reeds toegelicht: de verwerking van de persoonsgegevens in het kader van gereglementeerde kredieten wordt geregeld door de wet of, in casu, de artikelen VII.69 en VII.126 van het WER.

    Het behoorlijkheidsbeginsel vereist dat de kredietgever de consument vóór de verwerking in kennis stelt van de doeleinden hiervan (deze dienen welbepaald, uitdrukkelijk omschreven en gerechtvaardigd te zijn - artikel 5.1, b) van de  GDPR) en vervolgens slechts een verwerking uitvoert die in overeenstemming is met de aangegeven doeleinden (behalve de uitzonderingen vastgelegd in artikel 89 van de  GDPR voor verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden).

    Transparantie wordt vermeld in overweging 39 van de GDPR : Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt.

    Overweging 58 voegt eraan toe dat de informatie moet in voorkomend geval, aanvullend visualisatie worden gebruikt. Die informatie kan elektronisch worden verstrekt, bijvoorbeeld wanneer die tot het publiek is gericht, via een website. Dit geldt in het bijzonder voor situaties, waarin het vanwege zowel het grote aantal actoren als de technologische complexiteit van de praktijk voor een betrokkene moeilijk is te weten en te begrijpen of, door wie en met welk doel zijn persoonsgegevens worden verzameld, zoals bij onlineadvertenties.


    De transparantieregels zijn vastgelegd in artikel 12 van de  GDPR.

     

    Het finaliteitsbeginsel

    Artikel 5.1 b) bepaalt dat de gegevens alleen verzameld mogen worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. Het finaliteitsbeginsel zorgt voor de koppeling tussen de noodzakelijke openbaarheid die de strijd tegen overmatige schuldenlast vereist (door openbaarmaking binnen de sector), de gegevens die verband houden met kredieten, en de noodzaak om de persoonlijke levenssfeer van de consument te beschermen. De doeleinden moeten nuttig en noodzakelijk zijn  voor de verwerkingsverantwoordelijke. Naar aanleiding van schendingen van het finaliteitsbeginsel werden een aantal rechterlijke beslissingen uitgesproken.

    Wanneer gegevens worden verzameld op basis van een wettelijke bepaling, zegt de GDPR (artikel 6.2) dat de nationale wetgever de algemene regels mag aanpassen. Bij de gereglementeerde kredieten wordt het finaliteitsbeginsel geregeld door de artikelen VII.69 en VII.77 voor consumentenkredieten en VII.126 en VII.133 voor hypothecaire kredieten: de gegevens mogen alleen worden verzameld voor de kredietwaardigheidsbeoordeling van de kredietnemer of van de zekerheidssteller. Marketing is voor het WEB bijvoorbeeld geen toegelaten doeleinde. Het is bijgevolg verboden om met dit doel de gegevens verzameld bij kredietverlening te verwerken.

    Mag de kredietgever naar aanleiding van een kredietaanvraag andere gegevens verzamelen (die niet noodzakelijk zijn voor de kredietwaardigheidsbeoordeling)? Het antwoord is negatief. De kredietgever mag via de vragenlijst, voorzien in de artikelen VII.69 en VII.126, geen informatie inwinnen die niet noodzakelijk is. Niets houdt de kredietgever echter tegen om de betrokken persoon vooraf om toestemming te vragen om nadere informatie te verkrijgen die de kredietgever nodig heeft om, voor deze gegevens, te voldoen aan alle verplichtingen die voortvloeien uit de verwerking van de gegevens die op basis van de toestemming werden verkregen, met inbegrip van het recht voor de betrokkene om zijn toestemming te allen tijde in te trekken (artikel 7.3 van de GDPR). De transparantieplicht vastgelegd in artikel 9 van de GDPR legt eveneens de verplichting op om een duidelijk onderscheid te maken (artikel 13.2 e) van de GDPR) tussen de informatie die op reglementaire basis wordt verkregen (als voorwaarde voor het verlenen van het krediet) en andere informatie waarvan het facultatieve karakter dient te worden onderlijnt.


     

    De minimale gegevensverwerking - het principe: de verzamelde gegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt

    De GDPR vermeldt in artikel 5.1, c de vereisten die opgenomen waren in Richtlijn 95/46/EG (deze waren reeds omgezet door de wet van 8 december 1992).  De kredietgever en de kredietbemiddelaar mogen alleen de informatie verzamelen die toereikend, ter zake dienend en beperkt is tot wat noodzakelijk is voor de doeleinden waarvoor de informatie wordt verwerkt (artikel 5.1, c). Dit impliceert dat de persoonsgegevens maar mogen worden verwerkt als tussen deze gegevens en het gerechtvaardigde doeleinde (de beoordeling van de financiële situatie en de kredietwaardigheid van de consument) een "logische en noodzakelijke band" bestaat In de praktijk bepaalt deze beoordeling of de aanvrager het krediet al dan niet toegekend krijgt. Zoals T. Leonard het verwoordde: "De gegevensregistraties zijn zowel knipperlichten die de consument moeten beschermen tegen een onaanvaardbare toename van zijn schuldenlast als een middel om de toekenning te voorkomen van kredieten die de kredietnemer waarschijnlijk niet kan terugbetalen" («Centrales des crédits et protection de la vie privée : incertitude et insécurité juridique », D.C.C.R., 1996, p. 74).

    In artikel VII.126, §1, lid 2 is dit principe opgenomen voor de hypothecaire kredieten: Deze informatieverzoeken zijn evenredig en beperken zich tot hetgeen voor het verrichten van een deugdelijke kredietwaardigheidsbeoordeling noodzakelijk is.

    De regel vastgelegd in artikel 5.1, c) van de GDPR is van algemene strekking en is bijgevolg van toepassing op alle gereglementeerde kredieten, met inbegrip van consumptiekredieten, ook al wordt dit in artikel VII.69 verder niet verduidelijkt.

    Hoewel de verwerking beperkt moet worden, dienen de gegevens ook toereikend te zijn om de kredietgever en de kredietbemiddelaar in staat te stellen te voldoen aan hun verplichtingen om de kredietwaardigheid te beoordelen en advies te geven. In zijn arrest Consumer Finance herinnert het Hof van Justitie eraan dat de vaststelling van de nodige informatie de verantwoordelijkheid is van de kredietgever. In dat opzicht mag een kredietgever er zich bij het onderzoek van een kredietaanvraag niet toe beperken een loonbriefje te vragen en de centrale gegevensbank van de Nationale Bank te raadplegen zonder verdere inlichtingen te vragen met betrekking tot de familiale situatie van de consument, zijn lasten en lopende leningen (Vred. Vilvoorde, 28 juni 2001, Jaarboek Kredietrecht, 2001, p. 158).


     

    De verwerking van gevoelige gegevens

    Artikel 9.1 van de GDPR verbiedt de verwerking van gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging en, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. De verwerking van deze gegevens is echter mogelijk als de betrokkene uitdrukkelijk heeft toegestemd met deze verwerking (artikel 9.2, a). Nationale wetgevers mogen deze uitzondering evenwel negeren en mogen bepalen dat de persoon er zich niet op kan beroepen (zelfde bepaling).

    Dat is ook zo geregeld voor de gereglementeerde kredieten: In geen enkel geval mag de gevraagde informatie betrekking hebben op het ras, de etnische afstamming, het seksueel gedrag, de gezondheid, de overtuigingen of activiteiten op politiek, levensbeschouwelijk of godsdienstig gebied of het lidmaatschap van een vakbond of van een ziekenfonds (VII.69, § 1, lid. 2, en VII126, § 1, lid. 4).

    De vragenlijst die aan de consument en de zekerheidssteller wordt voorgelegd, mag dus in geen geval betrekking hebben op deze gegevens.

     

     

    Juistheidsbeginsel: De gegevens moeten juist zijn en zo nodig worden geactualiseerd

    Artikel 5.1, d) stelt dat de gegevens juist moeten zijn en zo nodig geactualiseerd moeten worden. Deze vereisten stonden al in de wet van 8 december 1992. De gereglementeerde regelingen voor de consumentenkredieten bevestigen de verplichting voor beroepsbeoefenaars om  exacte en volledige gegevens te verzamelen. De wettelijke bepalingen onderstrepen de verplichting van de consument en van de zekerheidssteller om exacte en volledige  antwoorden te verstrekken (VII.69, §1, en VII.126, § 1).

    Een actualisering van de gegevens is pas nodig wanneer ze gebruikt worden voor een terugkerende verwerking of, wanneer dit niet het geval is, wanneer een nieuwe verwerking noodzakelijk is. Het spreekt vanzelf dat in het geval van een nieuwe gegevensverwerking, bijvoorbeeld naar aanleiding van een nieuwe kredietaanvraag, de kredietgever en de kredietbemiddelaar een nieuwe vragenlijst moeten voorleggen of minstens bij de betrokkenen zal moeten nagaan of de eerder verstrekte gegevens nog steeds exact en volledig zijn.

    Voor gegevens die naar aanleiding van een consumentenkrediet worden verzameld, geldt een verplichte actualisering als het Wetboek dit zo voorziet. Dat is het geval in de artikelen VII.77, 1 en VII.133, §1, die bepalen dat een jaarlijkse raadpleging van de Centrale moet plaatsvinden voor kredietovereenkomsten met een onbepaalde looptijd.

     

     

    "opslagbeperking” principe

    Dit beginsel, dat opgenomen is in artikel 5.1, e) en al opgenomen was in de wet van 1992, vereist dat de verwerkingsverantwoordelijke de gegevens niet bewaart in een vorm die toelaat dat de betrokkenen geïdentificeerd kunnen worden gedurende een periode die langer is dan nodig voor de doeleinden van de verwerking van de gegevens. Ze moeten daarom periodiek worden gewist (overweging nr 39 : Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverant woordelijke termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan).Voor de gereglementeerde kredieten legt het Wetboek de verplichting op om de persoonsgegevens die naar aanleiding van de toekenning van het krediet werden verzameld, te bewaren zolang het opgenomen krediet niet is afgelost (VII.69, §2, en VII.126, §2). Zodra het krediet is afgelost moeten de gegevens bijgevolg worden gewist.

    Wat wanbetaling betreft, legt de wet bewaartermijnen vast voor gegevens die in interne bestanden van de verwerkingsverantwoordelijke, in externe bestanden of bij de Centrale voor Kredieten aan Particulieren zijn opgeslagen.

    Zie de commentaar bij art.VII.120 en VII.147/36.

     

     

     

    Rechten van betrokkenen

     

    Informatie op het tijdstip van de registratie van de gegevens

    Art. 13 van de RGPD verplicht de schuldeiser om de consument wanneer persoonsgegevens  bij die persoon worden verzameld, een reeks informatie te verstrekken. Deze lijst is uitgebreider dan de lijst in de wet van 8 december 1992. Naast het doel van de verwerking moet de verwerkingsverantwoordelijke de rechtsgrondslag van de verwerking (artikel VII.69 of VII.126) vermelden evenals de ontvangers van de verwerkte gegevens, de bewaartermijn, de rechten van de betrokkene (recht van toegang, rectificatie, wissing, beperking van de verwerking, verzet tegen de verwerking, recht op overdraagbaarheid, recht om een klacht in te dienen bij de toezichthoudende autoriteit).

    De verwerkingsverantwoordelijke dient met name informatie te verstrekken of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt (art. 13.2, e). De kredietgever moet derhalve specificeren dat de gegevens worden verzameld op basis van de artikelen VII.69 en VII.126 van het WEB, dat de mededeling van deze gegevens essentieel is voor het sluiten van het contract en dat de kredietgever bij gebreke daarvan geen krediet mag verlenen. Voor hypothecaire kredietovereenkomsten is deze waarschuwing uitdrukkelijk opgenomen in artikel VII.126, §1, lid 3. De waarschuwing is ook van essentieel belang voor consumentenkredieten vanwege het rechtstreekse effect van de GDPR.

    Bovendien voorziet art. 13.2, f) van de GDPR dat de verwerkingsverantwoordelijke de volgende informatie verstrekken : het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

     Het is op het moment dat de gegevens worden verzameld dat de mededeling aan de consument plaats moet vinden. De mededeling gaat dan ook vooraf aan de ondertekening van de kredietovereenkomst. Al deze informatie mag in de vragenlijst die wordt voorgelegd aan de kandidaat-kredietnemer en de persoon die als zekerheidssteller optreedt, worden opgenomen op voorwaarde dat hen een exemplaar van deze vragenlijst wordt bezorgd. De gegevens worden daarentegen pas na de ondertekening van de kredietovereenkomst geregistreerd bij de Centrale voor Kredieten aan Particulieren. In dit geval wordt de informatie verstrekt door middel van een verplichte verwijzing naar de consumentenkredietovereenkomst (VII.78, §2, 10° tot 13°) en de hypothecaire kredietovereenkomst (VII.134, §2, 10° tot 13°). De registratie in geval van wanbetaling is geregeld in artikel VII.151 van het WEB.

    Zie de commentaar bij art. VII.121 en VII.147/37 of  de commentaar over de Centrale voor Kredieten aan Particulieren


     

     

    Recht op inzage, rectificatie, gegevenswissing, beperking van de verwerking

    In de GDPR zijn verschillende rechten vastgelegd  : recht of inzage (art. 15, GDPR) recht op rectificatie en recht op gegevenswissing (art. 16 en 17, GDPR), recht of beperking van de verwerking (art. 18 GDPR) en recht op overdraagbaarheid van de gegevens (art. 20, GDPR).
    Zie commentaar bij art. VII.122 en VII.147/38.

     

    Geautomatiseerde individuele besluitvorming en profilering

    Artikel 22 van de GDPR verduidelijkt dat natuurlijke personen hebben het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft. De administratie is van mening dat de rechtsgrondslag voor het verzamelen van persoonsgegevens in de precontractuele fase, en met name de adviesplicht en de verplichting om de solvabiliteit te beoordelen, het gebruik van alleen kredietscores bij het verlenen van krediet uitsluit en het gebruik van de in artikel 22.1, a) en c) bedoelde uitzonderingen evenmin toestaat. (zie de commentaar bij Credit-scoring).

    Voor de kredietwaardigheidsbeoordeling is te allen tijde een daadwerkelijke menselijke (en dus niet louter formele) tussenkomst vereist. Het kredietdossier moet deze menselijke tussenkomst in de beslissing vermelden.


     

    Waakzaamheidsplicht en technische en organisatorische maatregelen

    Hoewel de GDPR bepaalde vormvoorschriften van Richtlijn 95/46 (en met name de voorafgaande kennisgeving van de doeleinden aan de toezichthoudende autoriteit) afschaft, versterkt de GDPR de verplichtingen van de verwerkingsverantwoordelijken en hun subverwerkers door hen met name het volgende op te leggen: de verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd (art.24.1, GDPR)

    In overweging 78 wordt in dit verband opgemerkt dat:  Bij de ontwikkeling, de uitwerking, de keuze en het gebruik van toepassingen, diensten en product en die zijn gebaseerd op de verwerking van persoonsgegevens, of die persoons gegevens verwerken bij de uitvoering van hun opdracht, dienen de producent en van de producten, diensten en toepassingen te worden gestimuleerd om bij de ontwikkeling en de uitwerking van dergelijke producten, diensten en toepassingen rekening te houden met het recht op bescherming van persoonsgegevens en, met inachtneming van de stand van de techniek, erop toe te zien dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming.

    De GDPR stipuleert een reeks verplichtingen die van toepassing zijn voor verwerkingsverantwoordelijken en hun subverwerkers :

    1. passende technische en organisatorische maatregelen treffen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd (art. 24.1).
    2. wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregel en een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.
    3. Bij het bepalen van de technische en organisatorische maatregelen en tijdens de verwerking zelf, gebruikmaken van passende technische maatregelen zoals pseudonimisering.
    4. Het aansluiten bij goedgekeurde gedragscodes (24.3) en goedgekeurd certificeringsmechanisme gebruiken om aan te tonen dat aan de voorschriften van GDPR is voldaan (25.3).
    5. Stellen op transparante wijze de respectieve verantwoordelijkheden van gezamenlijke verwerkingsverantwoordelijken
    6. Beroep doen op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden en hen contractueel opleggen de keuze van hun onderaannemers, de naleving van een gedragscode de het gebruik van certificatie mechanismes.
    7. Het behoud van een register met verschillende informaties (30, GDPR)
    8. Inbreuk in verband met persoonsgegevens meedelen aan de persoonsgegevens autoriteit en aan de betrokkenen (33 en 34, GFPR)
    9. Voorafgaande beoordeling studie uitvoeren van het effect van beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens (art. 35, GDPR)
    10. Een functionaris voor gegevensbescherming aanwijzen (art. 37, GDPR)

    De legitimiteit van de verwerking op basis van voorafgaande toestemming

     Indien de kredietgever of -bemiddelaar de verwerking baseert op de voorafgaande toestemming van de natuurlijke persoon, specificeert de GDPR de voorwaarden voor de geldigheid van deze toestemming (artikel 7).

     

     

     

     

     

    {