Credit scoring: in strijd met de privacywet?

credit check

Profilering op basis van data is inmiddels geen geheim meer. Bedrijven sluiten graag zoveel mogelijk risico’s uit. Gegevens over de geschiedenis van betalingen bieden bedrijven deze mogelijkheid. Deze zogenoemde profilering kan grote gevolgen hebben. Het komt namelijk weleens voor dat iemand op een zwarte lijst komt te staan enkel en alleen omdat diegene in een arme wijk woont. De vraag is of bedrijven profielen mogen maken op basis van persoonsgegevens die van derden afkomstig zijn of is dit strijdig met de wet?

Het is niks nieuws dat bedrijven zwarte lijsten aan leggen. Dat gebeurt al twintig jaar. Inmiddels bevatten deze lijsten veel meer informatie dan die van het Bureau Krediet Registratie (BKR) en zijn ze te koop voor eenieder die ervoor wil betalen. Deze bedrijven die een schuldenregistratie bijhouden zouden je niet alleen bestempelen als slechte betaler wanneer je schulden hebt, maar ook wanneer je in een arme wijk woont of iemand op jouw adres schulden heeft gemaakt. Een lijst die dus zwaarwegende gevolgen kan hebben.

Wat is credit scoring?

Data analysering, correlaties opsporen en groepsprofielen creëren wordt veel gebruikt bij het testen van de kredietwaardigheid van klanten. Een dergelijke test wordt ook wel een ‘credit score’ genoemd. Wanneer iemand een rekening te laat betaald en daardoor bij een incassobureau staat geregistreerd kan dit resulteren in een lage credit score. Deze registratie bij een incassobureau kan bijvoorbeeld voor een bank een reden zijn om een lening af te wijzen. Het is alleen wel de vraag in hoeverre voorspellingen correct zijn. Het kan namelijk voorkomen dat er foute voorspellingen worden verricht of dat er onjuiste correlaties worden gemaakt. Automatische profilering is dus niet zonder risico’s voor de betrokkenen (degene wiens gegevens worden gebruikt voor de credit scoring). Het gebrek aan transparantie van geautomatiseerde besluitvorming is daarbij vaak een punt van kritiek.

Klant koopt bij webshop

Bron: ICTRecht

Stap 1. Verwerking van persoonsgegevens

De verantwoordelijke verwerkt in eerste instantie de persoonsgegevens. Een voorbeeld hiervan is als een klant iets besteld bij een webshop. Deze betreffende webshop is de verantwoordelijke en zal de klant moeten informeren over de verwerking van alle persoonsgegevens. Als een webshop dus een bepaalde schuldenregistratie bijhoudt van klanten, zal de webshop de klant hierover moeten informeren in de privacyverklaring. Daarbij zal de webshop de klant ook informatie moeten verstrekken over een eventuele doorverkoop van de persoonsgegevens en over een profilering die gaat plaatsvinden op grond van de gegevens.

Stap 2. Doorverkoop van persoonsgegevens aan informatiebureaus

Vervolgens kan het zo zijn dat het bedrijf, bijvoorbeeld de webshop, de betreffende persoonsgegevens van klanten wil doorverkopen aan informatiebureaus. Over deze doorverkoop van de persoonsgegevens moet de klant al bij het verstrekken van zijn persoonsgegevens geïnformeerd zijn. Dit moet de webshop dus opnemen in de privacyverklaring. Aan wie de informatie wordt verkocht mag bij naam worden genoemd, maar vermelding van categorie kan ook voldoende zijn. Het moet in ieder geval duidelijk zijn om welke partij(en) het gaat.

Stap 3. Profilering op basis van persoonsgegevens

De informatiebureaus zullen de persoonsgegevens met een doel gekocht hebben van het bedrijf die in eerste instantie de gegevens heeft verzameld. Dit doel kan zijn om de gegevens te analysering en er profielen van te vormen. Vervolgens kan deze profilering worden gebruikt voor de credit scoring. Over de profilering moet de betrokkene ook op de hoogte worden gesteld. De webshop (van het voorbeeld bij stap 1) moet de klant erop wijzen wat de verwachte gevolgen zijn van profilering en de klant moet weten wat het belang is van de profilering. Hierbij kan gedacht worden aan informatie zoals: ‘Op basis van uw postcode en uw eerder aankoopgedrag wordt geautomatiseerd bepaald of u in aanmerking komt voor achterafbetaling in onze webwinkel’. Als de profilering plaatsvindt door een ander dan de verantwoordelijke waaraan de betrokkene de gegevens heeft verstrekt, bijvoorbeeld het informatiebureau, dan moet voor deze verwerking expliciet toestemming worden gevraagd (= opt-in).

Stap 4. Creditscoring gebruiken bij het nemen van besluiten

De profilering die volledig geautomatiseerd plaatsvindt en vervolgens een voorspelling doet over de kredietwaardigheid van de betrokkene, kan zwaarwegende gevolgen hebben. Als een dergelijke credit scoring wordt gebruikt voor het nemen van een geautomatiseerd besluit, dan heeft de betrokkene, met uitzondering van drie grondslagen, in dat geval het recht om niet onderworpen te worden aan het besluit. Een voorbeeld hiervan is als iemand een overeenkomst wil aangaan, maar vervolgens het sluiten van de overeenkomst hem wordt geweigerd vanwege een lage credit score.

Er zijn drie grondslagen waarop geautomatiseerde besluitvorming wel is toegestaan, namelijk:

  • 1. Het is noodzakelijk ter uitvoering van een overeenkomst
    Hierbij kan gedacht worden aan een hypotheekverstrekking of de verstrekking van een lening waarbij geautomatiseerde besluitvorming op basis van profilering noodzakelijk is. Het betalingsgedrag van een klant bij een webshop of wat de postcode van de betrokkene is zal waarschijnlijk niet noodzakelijk zijn voor het sluiten van een dergelijke overeenkomst. Voor de schuldenregistratie hebben we immers Stichting Bureau Krediet Registratie.
  • 2. Het is toegestaan bij en Unierechtelijke of lidstaatrechtelijke bepaling
    Dit is een uitzondering op grond waarvan profilering wel is toegestaan bijvoorbeeld wanneer dit is vereist voor een strafproces en te achterhalen of iemand fraude heeft gepleegd.
  • 3. Het berust op de uitdrukkelijke toestemming van de betrokkene
    Deze toestemming moet uitdrukkelijk zien op de geautomatiseerde besluitvorming. Er is echter nooit direct contact tussen de derde, die de betreffende data koopt (zie stap 2) en de betrokkene. De betrokkene verstrekt de gegevens immers aan de verantwoordelijke, die deze gegevens vervolgens weer doorverkoopt. De klant zal dan dus bij het plaatsen van de bestelling via een opt-in toestemming moeten geven dat zijn gegevens door bedrijf X gebruikt gaan worden voor creditscoring.

AVG

Op grond van de Algemene Verordening Gegevensbescherming (AVG) hebben betrokkenen vanaf mei 2018 het recht om invloed uit te oefenen op een hem betreffende geautomatiseerde besluitvorming. Zo heeft de betrokkene recht op:
– menselijke tussenkomst;
– de mogelijkheid om het besluit aan te vechten; en
– het naar voren brengen van zijn zienswijze.

De gevaren van profilering vinden voornamelijk hun oorzaak in de complexiteit van de gebruikte algoritmes. De aanpassingen, zoals nu voorgesteld in de AVG, zorgen er nog niet voor dat het onderliggende proces (de wijze van totstandkoming van de profilering) verbeterd. Om op basis van profilering geautomatiseerde besluiten te nemen wordt wel moeilijker gemaakt door de AVG. Er zijn immers nog maar drie grondslagen waarop dit mogelijk is en daarnaast moet de betrokkene goed worden ingelicht over de gevolgen. Ondanks deze rechten kan er nog steeds op grond van de verstrekte gegevens een onjuiste profilering plaatsvinden. De oorzaak van deze onjuiste profilering hoeft dus niet per se te liggen in de onjuistheid of onrechtmatigheid van de verstrekte gegevens.

Conclusie

In theorie is het mogelijk dat profilering en creditscoring op grond van de privacywetgeving is toegestaan. Maar het is sterk de vraag of dat in de praktijk gaat gebeuren. Veelal is namelijk vereist dat de betrokkene uitdrukkelijke toestemming geeft voor de verkoop en voor de verwerking van zijn gegevens. Als deze toestemming is gegeven zonder dat de betrokkene goed is ingelicht over de gevolgen, zal de toestemming onvoldoende waarborgen bieden en mag een bedrijf zich niet op deze toestemming baseren.

Per mei 2018 zijn de eisen dus strenger voor de verwerking van persoonsgegevens. Of dit voldoende waarborgen biedt is nog maar de vraag. De totstandkoming van de profilering wordt daar namelijk niet mee verbeterd. Daarmee blijft het risico bestaan iemand onterecht niet in aanmerking komt voor bijvoorbeeld een verstrekking van een krediet.

Deze informatieve bijdrage is een gastblog van Iris de Groot en Raoul van de Laak, juridisch adviseur bij ICTRecht. ICTRecht voorziet (online) ondernemers van advisering op het gebied van juridische kwesties rondom ICT en internet. Daarnaast kunnen ondernemers via ICTRecht gemakkelijk zelf juridische documenten genereren.


Een Expert Blogger is een bijdrage geschreven door een specialist uit de branche. Dit kan iemand zijn met expertise op Online Betalen, FinTech, Wet en Regelgeving of PSD2, maar ook op het gebied van online marketing of e-commerce in het algemeen! Kortom; actueel en informatief, gericht op de online ondernemer. Heb jij expertise en wil jij die delen met de achterban van Internetkassa.nu? Pitch jouw idee op redactie@internetkassa.nu