Stichting BKR, de zakelijke klanten en de verwerkers mogen de persoonsgegevens in CKI alleen gebruiken voor doeleinden die verenigbaar zijn met de doeleinden waarvoor BKR de persoonsgegevens in CKI verwerkt (ex art. 7 lid 1 Algemeen Reglement CKI (versie februari 2021)).

De zakelijke klanten mogen de persoonsgegevens in CKI alleen raadplegen voor de redenen als bedoeld in artikel 8 leden 1 tot en met 4 van dit Reglement (ex art. 7 lid 2, sub a, Algemeen Reglement CKI (versie februari 2021)).

De zakelijke klanten mogen de persoonsgegevens in CKI niet raadplegen voor andere zakelijke klanten en derden (ex art. 7 lid 2, sub b, Algemeen Reglement CKI (versie februari 2021)).

De zakelijke klanten mogen de persoonsgegevens in CKI niet raadplegen met de bedoeling om deze aan de consument te verstrekken. Een zakelijke klant moet wel meewerken aan een verzoek als bedoeld in artikel 2 8 (ex art. 7 lid 2, sub c, Algemeen Reglement CKI (versie februari 2021)).

De zakelijke klant mag -mits dat in haar rol als werwerkingsverantwoordelijke is toegestaan- de gegevens uit CKI als bedoeld in artikel 8 alleen delen met een kredietbemiddelaar of kredietadviseur met wie de zakelijke klant een bemiddelingsovereenkomst
heeft gesloten op de gronden als genoemd in dit artikel en alleen in het kader van de op de kredietbemiddelaar of kredietadviseur rustende zorgplicht op grond van de Wet op het financieel toezicht. De zakelijke klant bepaalt zelf of en onder welke voorwaarden zij bereid is voornoemde CKI gegevens te delen met de kredietbemiddelaar of kredietadviseur (ex art. 7 lid 2, sub d, Algemeen Reglement CKI (versie februari 2021)).

Lid 2 sub c geldt niet als: (a) de zakelijke klant op grond van de WFT verplicht is om de consument te informeren over de uitkomst van de CKI raadpleging bij afwijzing van zijn kredietaanvraag; (b) de consument gebruik maakt van zijn wettelijk recht om zijn persoonsgegevens in de administratie van de zakelijke klant in te zien (ex art. 7 lid 3, 1ste volzin, Algemeen Reglement CKI (versie februari 2021)). De zakelijke klant moet dan de eventueel in zijn administratie aanwezige CKI raadplegingen aan de consument verstrekken als de consument daarom verzoekt (ex art. 7 lid 3, 2de volzin, Algemeen Reglement CKI (versie februari 2021)).

Stichting BKR en de zakelijke klanten zorgen voor passende technische en organisatorische maatregelen om de persoonsgegevens te beveiligen tegen verlies, onbevoegde kennisneming, wijziging of verstrekking en tegen elke overige vorm van onrechtmatige verwerking (ex art. 7 lid 4 Algemeen Reglement CKI (versie februari 2021)).

Indien een inbreuk in verband met van Stichting BKR afkomstige persoonsgegevens heeft plaatsgevonden, meldt de zakelijke klant deze
inbreuk zonder onredelijke vertraging nadat de zakelijke klant er kennis van heeft genomen aan BKR, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van de consument (ex art. 7 lid 5, 1ste volzin, Algemeen Reglement CKI (versie februari 2021)). Deze verplichting geldt ook voor de zakelijke klant die op grond van de AVG niet gehouden is om datalekken te melden aan de getroffen consumenten (ex art. 7 lid 5, 2de volzin, Algemeen Reglement CKI (versie februari 2021)).

Indien een inbreuk in verband met van zakelijke klant afkomstige persoonsgegevens heeft plaatsgevonden meldt Stichting BKR deze
inbreuk zonder onredelijke vertraging nadat BKR er kennis van heeft genomen aan de zakelijke klant, tenzij het niet waarschijnlijk is dat
de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen (ex art. 7 lid 6 Algemeen Reglement CKI (versie februari 2021)).

De melding als bedoeld in lid 5 en lid 6 van dit artikel gebeurt per e-mail. De melding van de zakelijke klant aan Stichting BKR wordt gezonden aan de functionaris voor de gegevensbescherming van BKR. Vanaf het moment van de melding verschaffen BKR en de zakelijke klanten elkaar alle medewerking om de relevante informatie te verzamelen en de externe communicatie af te stemmen (ex art. 7 lid 7 Algemeen Reglement CKI (versie februari 2021)).

De zakelijke klanten moeten de door Stichting BKR verstrekte persoonsgegevens strikt geheim houden. Als de zakelijke klant de persoonsgegevens niet nodig heeft voor het in dit Reglement omschreven doel, moet hij met in achtneming van artikel 8 lid 5 van dit Reglement de persoonsgegevens vernietigen. De zakelijke klant bewaart de CKI raadpleging om aan zijn wettelijke verplichtingen te voldoen (ex art. 7 lid 8 Algemeen Reglement CKI (versie februari 2021)).

De zakelijke klanten moeten de van Stichting BKR verkregen persoonsgegevens op zorgvuldige wijze betrekken bij het nemen van een
besluit ten aanzien van de consument (ex art. 7 lid 9 Algemeen Reglement CKI (versie februari 2021)).

Het Bestuur en de (rechts)personen die onder verantwoordelijkheid van Stichting BKR werkzaamheden verrichten hebben uitsluitend toegang tot CKI voor zover dit noodzakelijk is voor de uitvoering van hun werkzaamheden (ex art. 7 lid 10 Algemeen Reglement CKI (versie februari 2021)).