De Autoriteit Persoonsgegevens heeft Experian een boete van 2,7 miljoen euro opgelegd wegens ongeoorloofde datahandel. Dat meldde Nu.nl onlangs. Experian gaat niet in beroep en stopt zijn werkzaamheden in Nederland. Dat voelt als een heftige reactie, maar de onderliggende motivatie van de boete maakt het begrijpelijk.
Zoals Nu.nl de bedrijfsvoering van Experian uitlegt:
Experian maakte op verzoek van klanten, zoals telecombedrijven en webwinkels, kredietwaardigheidsrapporten over mensen. Zo wisten de bedrijven vooraf of klanten in staat waren om aan betalingen te voldoen. Ook kwam door de rapporten aan het licht of er een risico op wanbetaling was.
Dat vergt natuurlijk een berg persoonsgegevens, dus het is niet raar dat de AVG hier geldt en de Autoriteit Persoonsgegevens hier naar kijkt. Uit het persbericht van de AP haal ik dat het vooral misging bij de informatieplichten: mensen kregen een krediet of lening niet, en pas achteraf ontdekte men dat dit op basis van een Experian-kredietscore was. Ook verzamelde men veel meer gegevens dan nodig.
Je zou zeggen: doet zo’n winkel dat dan niet, “Uw kredietscore is volgens Experian te laag dus graag vooraf betalen”? Maar de AP merkt Experian zelf als verwerkingsverantwoordelijke aan. En dat is terecht: de winkels hebben nul invloed op wat Experian doet. Het hele punt is juist dat dat de winkels alleen een score willen horen.
Maar dan moet Experian zelf dus wel naar mensen toe zeggen “op basis van dit gegeven is je kredietscore gedaald” of “je huidige score is dit, op basis van X, Y en Z”. Dat gebeurde niet, althans niet altijd.
Dit raakt aan de fundamentele vraag of Experian haar grondslag – uiteraard gerechtvaardigd belang – wel rond krijgt. Als je overal gegevens vandaan haalt, die niet altijd over krediet of betaalgeschiedenis gaan, en dat niet uitlegt, dan is de score nogal een verrassing voor mensen. En dat is een probleem:
Dat geldt te meer voor de gegevens die Experian verkrijgt uit niet-openbare bronnen , zoals de negatieve betaalregistraties bij haar klanten. Met name ten aanzien van deze negatieve betaalregistraties bij haar klanten kan in dit geval niet (zonder meer) worden gesteld dat een betrokkene op het tijdstip en in het kader van de verzameling van de persoonsgegevens redelijkerwijs mag verwachten dat verwerking ten behoeve van kredietwaardigheidsbeoordelingen kan plaatsvinden.
Het verbaast me wel dat Experian kiest voor een volledig vertrek. Data van Nederlanders wordt ook gewist, en zo te lezen wordt het dus onmogelijk om nog kredietscores voor Nederlanders op te vragen. In andere Europese landen blijft men wel actief, wat dan weer raar aandoet omdat de AVG in principe overal hetzelfde zou gelden.
Arnoud
PS: Abusievelijk vermeldde ik “Nexperia” in de koptekst. Dit is aangepast.
