Home / Nieuws & Blogs / Credit scoring: in strijd met de privacywet?

Credit scoring: in strijd met de privacywet?

Privacy
| 29 november 2017

Profilering op basis van data is inmiddels geen geheim meer. Bedrijven sluiten graag zoveel mogelijk risico’s uit. Gegevens over de geschiedenis van betalingen bieden bedrijven deze mogelijkheid. Deze zogenoemde profilering kan grote gevolgen hebben. Het komt namelijk weleens voor dat iemand op een zwarte lijst komt te staan enkel en alleen omdat diegene in een arme wijk woont. De vraag is of bedrijven profielen mogen maken op basis van persoonsgegevens die van derden afkomstig zijn of is dit strijdig met de wet?

Het is niks nieuws dat bedrijven zwarte lijsten aanleggen. Dat gebeurt al twintig jaar. Inmiddels bevatten deze lijsten veel meer informatie dan die van het Bureau Krediet Registratie (BKR) en zijn ze te koop voor eenieder die ervoor wil betalen. Deze bedrijven die een schuldenregistratie bijhouden zouden je niet alleen bestempelen als slechte betaler wanneer je schulden hebt, maar ook wanneer je in een arme wijk woont of iemand op jouw adres schulden heeft gemaakt. Een lijst die dus zwaarwegende gevolgen kan hebben.

Wat is credit scoring

Data analysering, correlaties opsporen en groepsprofielen creëren wordt veel gebruikt bij het testen van de kredietwaardigheid van klanten. Een dergelijke test wordt ook wel een ‘credit score’ genoemd. Wanneer iemand een rekening te laat betaalt en daardoor bij een incassobureau geregistreerd staat, dan kan dit resulteren in een lage credit score. Deze registratie bij een incassobureau kan bijvoorbeeld voor een bank een reden zijn om een lening af te wijzen.

Het is alleen wel de vraag in hoeverre voorspellingen correct zijn. Het kan namelijk voorkomen dat er foute voorspellingen worden verricht of dat er onjuiste correlaties worden gemaakt. Automatische profilering is dus niet zonder risico’s voor de betrokkenen (degene wiens gegevens worden gebruikt voor de credit scoring). Het gebrek aan transparantie van geautomatiseerde besluitvorming is daarbij vaak een punt van kritiek.

proces van ontstaan credit score

Stap 1. Verwerking van persoonsgegevens

De verantwoordelijke verwerkt in eerste instantie de persoonsgegevens. Een voorbeeld hiervan is als een klant iets bestelt bij een webshop. De webshop is de verantwoordelijke en zal de klant moeten informeren over de verwerking van alle persoonsgegevens. Als een webshop dus een bepaalde schuldenregistratie bijhoudt van klanten, zal de webshop de klant hierover moeten informeren in de privacyverklaring. Daarbij zal de webshop de klant ook informatie moeten verstrekken over een eventuele doorverkoop van de persoonsgegevens en over een profilering die gaat plaatsvinden op grond van de gegevens.

Stap 2. Doorverkoop van persoonsgegevens aan informatiebureaus

Vervolgens kan het zo zijn dat het bedrijf, bijvoorbeeld de webshop, de betreffende persoonsgegevens van klanten wil doorverkopen aan informatiebureaus. Over deze doorverkoop van de persoonsgegevens moet de klant al bij het verstrekken van zijn persoonsgegevens geïnformeerd zijn. Dit moet de webshop dus opnemen in de privacyverklaring. Aan wie de informatie wordt verkocht mag bij naam worden genoemd, maar vermelding van categorie kan ook voldoende zijn. Het moet in ieder geval duidelijk zijn om welke partij(en) het gaat.

Stap 3. Profilering op basis van persoonsgegevens

De informatiebureaus zullen de persoonsgegevens met een doel gekocht hebben van het bedrijf die in eerste instantie de gegevens heeft verzameld. Dit doel kan zijn om de gegevens te analysering en er profielen van te vormen. Vervolgens kan deze profilering worden gebruikt voor de credit scoring. Over de profilering moet de betrokkene ook op de hoogte worden gesteld.

De webshop (van het voorbeeld bij stap 1) moet de klant erop wijzen wat de te verwachten gevolgen zijn van profilering en de klant moet weten wat het belang is van de profilering. Hierbij kan gedacht worden aan informatie zoals: ‘Op basis van uw postcode en uw eerder aankoopgedrag wordt geautomatiseerd bepaald of u in aanmerking komt voor achterafbetaling in onze webwinkel’. Als de profilering plaatsvindt door een ander dan de verantwoordelijke waaraan de betrokkene de gegevens heeft verstrekt, bijvoorbeeld het informatiebureau, dan moet voor deze verwerking expliciet toestemming worden gevraagd (= opt-in).

Stap 4. Credit scoring gebruiken bij het nemen van besluiten

De profilering die volledig geautomatiseerd plaatsvindt en vervolgens een voorspelling doet over de kredietwaardigheid van de betrokkene, kan zwaarwegende gevolgen hebben. Als een dergelijke credit scoring wordt gebruikt voor het nemen van een geautomatiseerd besluit, dan heeft de betrokkene, met uitzondering van drie grondslagen, in dat geval het recht om niet onderworpen te worden aan het besluit. Een voorbeeld hiervan is als iemand een overeenkomst wil aangaan, maar vervolgens het sluiten van de overeenkomst hem wordt geweigerd vanwege een lage credit score.

Er zijn drie grondslagen waarop geautomatiseerde besluitvorming wel is toegestaan, namelijk:

  1. Het is noodzakelijk ter uitvoering van een overeenkomst

Hierbij kan gedacht worden aan een hypotheekverstrekking of de verstrekking van een lening waarbij geautomatiseerde besluitvorming op basis van profilering noodzakelijk is. Het betalingsgedrag van een klant bij een webshop of wat de postcode van de betrokkene zal waarschijnlijk niet noodzakelijk zijn voor het sluiten van een dergelijke overeenkomst. Voor de schuldenregistratie hebben we immers Stichting Bureau Krediet Registratie.

  1. Het is toegestaan bij en Unierechtelijke of lidstaatrechtelijke bepaling

Dit is een uitzondering op grond waarvan profilering wel is toegestaan bijvoorbeeld wanneer dit is vereist voor een strafproces en te achterhalen of iemand fraude heeft gepleegd.

  1. Het berust op de uitdrukkelijke toestemming van de betrokkene

Deze toestemming moet uitdrukkelijk zien op de geautomatiseerde besluitvorming. Er is echter nooit direct contact tussen de derde, die de betreffende data koopt (zie stap 2) en de betrokkene. De betrokkene verstrekt de gegevens immers aan de verantwoordelijke, die deze gegevens vervolgens weer doorverkoopt. De klant zal dan dus bij het plaatsen van de bestelling via een opt-in toestemming moeten geven dat zijn gegevens door bedrijf X gebruikt gaan worden voor credit scoring.

De Algemene Verordening Gegevensbescherming (AVG)

Op grond van de Algemene Verordening Gegevensbescherming (AVG) hebben betrokkenen vanaf mei 2018 het recht om invloed uit te oefenen op een hem betreffende geautomatiseerde besluitvorming. Zo heeft de betrokkene recht op:

  • menselijke tussenkomst;
  • de mogelijkheid om het besluit aan te vechten; en
  • het naar voren brengen van zijn zienswijze.

De gevaren van profilering vinden voornamelijk hun oorzaak in de complexiteit van de gebruikte algoritmes. De aanpassingen, zoals nu voorgesteld in de AVG, zorgen er nog niet voor dat het onderliggende proces (de wijze van totstandkoming van de profilering) verbetert.

Het op basis van profilering geautomatiseerde besluiten nemen wordt wel moeilijker gemaakt door de AVG. Er zijn immers nog maar drie grondslagen waarop dit mogelijk is en daarnaast moet de betrokkene goed worden ingelicht over de gevolgen. Ondanks deze rechten kan er nog steeds op grond van de verstrekte gegevens een onjuiste profilering plaatsvinden. De oorzaak van deze onjuiste profilering hoeft dus niet per se te liggen in de onjuistheid of onrechtmatigheid van de verstrekte gegevens.

Mag profilering en credit scoring nou onder de AVG?

In theorie is het mogelijk dat profilering en credit scoring op grond van de privacywetgeving is toegestaan. Maar het is sterk de vraag of dat in de praktijk gaat gebeuren. Veelal is namelijk vereist dat de betrokkene uitdrukkelijke toestemming geeft voor de verkoop en voor de verwerking van zijn gegevens. Als deze toestemming is gegeven zonder dat de betrokkene goed is ingelicht over de gevolgen, zal de toestemming onvoldoende waarborgen bieden en mag een bedrijf zich niet op deze toestemming baseren.

Per mei 2018 zijn de eisen dus strenger voor de verwerking van persoonsgegevens. Of dit voldoende waarborgen biedt is nog maar de vraag. De totstandkoming van de profilering wordt daar namelijk niet mee verbeterd. Daarmee blijft het risico bestaan dat iemand onterecht niet in aanmerking komt voor bijvoorbeeld verstrekking van een krediet.

Fotocredit: Credit Score - Nick Youngson - CC BY-SA 3.0

 

Dit artikel is geschreven door Iris de Groot i.s.m. Raoul van de Laak en gepubliceerd bij Internetkassa.

Zeker weten dat u voldoet aan alle relevante webwinkel regelgeving?

Webwinkels hebben te maken met speciale juridische eisen. Zo schrijft de wet voor dat u zich moet identificeren, dat uw algemene voorwaarden op een specifieke manier moeten worden aangeboden en dat u in een privacyverklaring moet toelichten wat u doet met persoonlijke informatie.

> Vraag een webshop scan aan of maak zélf juridische webwinkel documenten met onze generatoren op JuriDox

Raoul van de Laak

Business Manager
Lees meer
Wilt u meer weten over Privacy
ICTRecht B.V.

E contact@ictrecht.nl
T +31 (0)20 663 1941
Meer informatie

Juridisch advies
Professionals inhuren
Academy
Legal Tech
Security / Informatiebeveiliging
Documenten
Ons team
Vacatures

 

 
Nieuwsbrief

Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

Inschrijven nieuwsbrief

Social media
SM 22-Linkedin SM 22_Twitter SM 22_Instagram