bars
Contact
nl
Bekijk onze rechtsgebieden

Deze update is geschreven door:

Julia van Leeuwen
Update

De AP deelt een boete van 2,7 miljoen euro uit aan Experian wegens schending AVG

De Autoriteit Persoonsgegevens (AP) heeft Experian Nederland een boete opgelegd van 2,7 miljoen euro wegens overtreding van de Algemene verordening gegevensbescherming (AVG). Volgens de toezichthouder verwerkte het bedrijf persoonsgegevens zonder geldige grondslag en zonder betrokkenen goed te informeren over het gebruik van hun gegevens.

De zaak onderstreept dat naleving van de privacywetgeving/AVG essentieel is voor iedere onderneming die met persoonsgegevens werkt. Of het nu gaat om klanten, medewerkers of leveranciers: transparantie en rechtmatigheid zijn verplicht.

Wat de Autoriteit Persoonsgegevens vaststelde

Experian verzamelde en verwerkte gegevens van consumenten om hun kredietwaardigheid te beoordelen. Deze informatie werd gebruikt door bedrijven die wilden inschatten of iemand betrouwbaar was bij het aangaan van een contract.

Uit onderzoek bleek dat Experian meer gegevens verwerkte dan noodzakelijk en dat mensen vaak niet wisten dat hun informatie werd gebruikt. Het bedrijf beriep zich op het gerechtvaardigd belang, maar kon niet aantonen dat de verwerking noodzakelijk was. Daarnaast maakte het gebruik van gegevens uit niet-openbare bronnen, wat in strijd is met de beginselen van transparantie en rechtmatigheid in de AVG.

De AP legde daarom een boete van 2,7 miljoen euro op en verplichtte Experian haar activiteiten als kredietinformatiebureau te beëindigen.

Waarom dit relevant is voor ondernemingen

De privacywetgeving (AVG) geldt voor alle bedrijven die persoonsgegevens verwerken. In de praktijk blijkt vaak dat organisaties onvoldoende overzicht hebben van welke gegevens ze verzamelen, waarom dat gebeurt en welke juridische basis daarvoor geldt.

Dat leidt tot risico’s zoals:

  • gebruik van klantgegevens voor marketing zonder toestemming;
  • te lange bewaartermijnen van personeelsinformatie;
  • het ontbreken van verwerkersovereenkomsten met externe partijen;
  • of onduidelijke communicatie over cameratoezicht of toegangsregistratie.

De AP kijkt daarbij niet naar de omvang van het bedrijf, maar naar de zorgvuldigheid van de verwerking. Een organisatie die persoonsgegevens verwerkt, moet altijd kunnen uitleggen waarom en op basis van welke grondslag dat gebeurt.

Het gerechtvaardigd belang: streng getoetst

Het gerechtvaardigd belang wordt vaak gebruikt als grondslag voor gegevensverwerking, maar in de praktijk is dat lastig te onderbouwen. De AVG stelt drie voorwaarden:

  1. het belang moet concreet en reëel zijn;
  2. de verwerking moet noodzakelijk zijn om dat belang te bereiken;
  3. de privacy van betrokkenen mag niet zwaarder wegen.

Veel bedrijven gebruiken deze grondslag te ruim, bijvoorbeeld om extra data te verzamelen “voor de zekerheid”. Dat is niet toegestaan. De verwerking moet aantoonbaar nodig zijn, en er moet zijn gekeken of hetzelfde doel niet met minder gegevens bereikt kan worden.

De boete voor Experian laat zien dat een te breed beroep op het gerechtvaardigd belang een groot risico vormt.

Vijf praktische stappen voor naleving van de AVG

  1. Breng gegevensstromen in kaart. Weet welke persoonsgegevens je verzamelt, waarvoor en waar ze worden opgeslagen.
  2. Leg de grondslag vast. Bepaal per verwerking of sprake is van toestemming, een overeenkomst of een gerechtvaardigd belang.
  3. Wees transparant. Informeer betrokkenen duidelijk over wat er met hun gegevens gebeurt.
  4. Beperk en beveilig. Verwerk alleen noodzakelijke gegevens en zorg voor passende technische en organisatorische beveiliging.
  5. Controleer externe partijen. Werk alleen met leveranciers die zelf ook aan de AVG voldoen en sluit verwerkersovereenkomsten af.

Guldemond Advocaten adviseert over verwerkersovereenkomsten, privacyverklaringen en interne procedures, en bieden begeleiding bij vragen over de AVG en gegevensbescherming.

Wil je weten of jouw onderneming voldoet aan de AVG? Neem contact met op met privacy advocaat Julia van Leeuwen voor een privacycheck of advies over AVG compliance.

Lees meer updates
  • Updates  /
  • mei 26, 2026

Guldemond Advocaten x Recht in je Oor: tweedaagse Claude Code Hackaton voor juristen en advocaten

Afgelopen 6 en 7 mei heeft Guldemond Advocaten samen met Recht in je Oor een Claude Code Hackathon voor 60 advocaten en juristen georganiseerd. We zijn twee avonden met pizza's, Mac mini's en enthousiaste deelnemers met juridische achtergrond in de wereld van het "vibe coden" gedoken.
Lees meer
  • Updates  /
  • mei 19, 2026

“Verantwoord werken met AI in de praktijk” – Advocatenblad

Hoe ga je als advocaat om met AI-gegenereerde stukken van cliënten? Wat betekent AI-gebruik voor vertrouwelijkheid en professionele verantwoordelijkheid? En hoe benut je AI als hulpmiddel, zonder je eigen juridische oordeel uit handen te geven? In het nieuwste Advocatenblad bespreekt o.a. collega Julia van Leeuwen als lid van de Projectgroep AI & Digitalisering van de NOvA deze vragen aan de hand van praktijkvoorbeelden.
Lees meer
  • Updates  /
  • mei 12, 2026

Dua Lipa vs. Samsung: wat deze auteursrechtzaak zegt over commercieel gebruik van beeldmateriaal

Het gebruik van foto’s, artiestenbeelden en bekende gezichten in marketingcampagnes lijkt soms onschuldig. Toch kan één afbeelding op een verpakking al leiden tot miljoenenclaims wegens auteursrechtinbreuk, merkinbreuk en ongeoorloofd gebruik van portretrechten. Dat blijkt uit de recente rechtszaak die de bekende zangeres Dua Lipa heeft aangespannen tegen Samsung.
Lees meer
Meer updates