AVG-boete voor kredietbedrijf Experian is 2,7 miljoen euro, boete blijft staan

vrijdag, 17 oktober 2025 (10:14) - Tweakers

In dit artikel:

De Nederlandse privacytoezichthouder Autoriteit Persoonsgegevens (AP) heeft een boete van 2,7 miljoen euro opgelegd aan het Ierse kredietbureau en datahandelaar Experian; het besluit dateert uit 2023 maar de hoogte van het bedrag is nu pas openbaar gemaakt. Experian erkent de sanctie en trekt haar bezwaar in.

De AP publiceerde een boetebesluit met toelichting op de kern van de overtreding: Experian baseerde zijn kredietwaardigheidsbeoordelingen op het zogenaamde gerechtvaardigd belang (legitimate interest), maar stelde volgens de toezichthouder onvoldoende vast dat die verwerking noodzakelijk was en woog de privacyimpact niet adequaat. Het bedrijf voerde aan dat het daarmee consumenten en de maatschappij beschermde tegen problematische schulden, maar de AP vond dat een ontoereikend motief en concludeerde dat de rechten en vrijheden van betrokkenen zwaarder wegen.

Sinds 1 januari van dit jaar is Experian gestopt met het verzamelen van persoonsgegevens voor kredietbeoordelingen; de resterende data moeten uiterlijk dit jaar worden verwijderd. Opmerkelijk is dat de AP niet in detail uitlegde hoe het boetebedrag precies is berekend; de toezichthouder volstaat met de uitleg dat de sanctie “doeltreffend, evenredig en afschrikkend” moet zijn en dat rekening is gehouden met de economische draagkracht van Experian.

De boete van 2,7 miljoen behoort tot de hogere straffen die de AP tot nu toe heeft opgelegd (zes eerdere boetes waren hoger, onder meer aan internationale techbedrijven en twee keer aan de Nederlandse Belastingdienst). De zaak illustreert de toepassing van de AVG op kredietbureaus: het Europees Hof van Justitie heeft eerder bevestigd dat verwerking op grond van gerechtvaardigd belang mogelijk kan zijn, maar bedrijven moeten dan strikt aantonen dat verwerking noodzakelijk is en maatregelen nemen om privacyrisico’s te beperken. Deze uitspraak kan gevolgen hebben voor hoe andere kredietverstrekkers en datahandelaren hun verwerkingsgrondslagen en impactbeperkende maatregelen inrichten.