De Autoriteit Persoonsgegevens (AP) heeft de afgelopen weken twee opvallende besluiten genomen. De eerste: een boete van 2,7 miljoen euro voor Experian Nederland vanwege onrechtmatige verwerking van persoonsgegevens. De tweede: een verlaagde boete voor de KNLTB, na een jarenlange juridische strijd over het gebruik van ledengegevens voor commerciële doeleinden.

Lees in deze blog meer over genoemde besluiten van de AP.


1. Experian: dataverwerking zonder duidelijke grondslag

Experian leverde tot begin 2025 kredietrapporten aan klanten zoals webwinkels, telecombedrijven en verhuurders.

Hiervoor verzamelde het bedrijf enorme hoeveelheden data — van betaalgedrag en schulden tot faillissementsinformatie. Deze gegevens waren afkomstig uit zowel openbare als commerciële bronnen.

De AP concludeerde dat Experian:

  • persoonsgegevens zonder geldige grondslag had verwerkt;

  • betrokkenen onvoldoende had geïnformeerd over het gebruik van hun data; en,

  • onnodig veel en gevoelige gegevens had verzameld.

Door dit handelen wisten mensen niet dat er kredietscores over hen bestonden, laat staan dat zij die konden controleren of corrigeren.

Het gevolg: een recordboete van € 2,7 miljoen.
Experian legde zich daarbij neer. Experian heeft aangegeven te stoppen met de activiteiten in Nederland en de database met persoonsgegevens te verwijderen.

2. KNLTB: gerechtvaardigd belang

In een heel andere context speelde de zaak van de Koninklijke Nederlandse Lawn Tennis Bond (KNLTB).

De bond kreeg in 2019 een boete van € 525.000, omdat zij ledengegevens had gedeeld met commerciële partners voor marketingdoeleinden.

De KNLTB beriep zich destijds op de grondslag gerechtvaardigd belang. Echter de AP wees dat af: een ‘zuiver commercieel belang’ kon volgens de toezichthouder nooit een geldige grondslag zijn. Lees onze eerdere blog over deze zaak hier.

Het Hof van Justitie van de EU kwam in 2024 tot een genuanceerdere uitspraak:

Ook een commercieel belang kan gerechtvaardigd zijn, mits de verwerking noodzakelijk is, de inbreuk op de privacy beperkt blijft en betrokkenen redelijkerwijs kunnen verwachten dat hun gegevens worden gebruikt.

Na die uitspraak gingen de KNLTB en de AP in gesprek over de procedure. De tennisbond erkende dat zij anders had moeten handelen en gaat nu samen met de AP een voorlichtingscampagne starten over privacy in de sportsector.

De AP waardeert die stap en verlaagt de boete naar € 250.000, minus de kosten van de campagne.

Conclusie

Beide zaken tonen aan dat organisaties die persoonsgegevens verwerken — of het nu gaat om kredietbeoordeling of ledenadministratie — dezelfde kernverplichtingen hebben onder de AVG, zoals:

  • Gebruik een juiste en aantoonbare grondslag:

“Gerechtvaardigd belang” is geen vangnet, maar een grond die zorgvuldige onderbouwing vereist.

  • Wees transparant naar betrokkenen:

Mensen moeten weten welke gegevens over hen worden gebruikt, voor welk doel, en wat de gevolgen zijn.

  • Minimaliseer en beveilig data:

Verzamel niet meer gegevens dan strikt noodzakelijk en wees terughoudend met externe data-inkoop.

  • Toon naleving aan:

Leg vast hoe belangenafwegingen zijn gemaakt en doe periodiek DPIA’s (Data Protection Impact Assessments oftewel gegevensbeschermingseffectbeoordelingen).

Vragen op privacy en AVG-gebied?

Legalz helpt organisaties bij privacyvraagstukken en AVG-compliance.
Neem via onderstaande button contact op of bel 010-2290646 en spreek meteen een van onze specialisten ICT-recht.

Neem contact op