De Autoriteit Persoonsgegevens heeft Experian een boete van 2,7 miljoen euro opgelegd wegens ongeoorloofde datahandel. Dat meldde Nu.nl onlangs. Experian gaat niet in beroep en stopt zijn werkzaamheden in Nederland. Dat voelt als een heftige reactie, maar de onderliggende motivatie van de boete maakt het begrijpelijk.
Zoals Nu.nl de bedrijfsvoering van Experian uitlegt:
Experian maakte op verzoek van klanten, zoals telecombedrijven en webwinkels, kredietwaardigheidsrapporten over mensen. Zo wisten de bedrijven vooraf of klanten in staat waren om aan betalingen te voldoen. Ook kwam door de rapporten aan het licht of er een risico op wanbetaling was.Dat vergt natuurlijk een berg persoonsgegevens, dus het is niet raar dat de AVG hier geldt en de Autoriteit Persoonsgegevens hier naar kijkt. Uit het persbericht van de AP haal ik dat het vooral misging bij de informatieplichten: mensen kregen een krediet of lening niet, en pas achteraf ontdekte men dat dit op basis van een Experian-kredietscore was. Ook verzamelde men veel meer gegevens dan nodig.
Je zou zeggen: doet zo’n winkel dat dan niet, “Uw kredietscore is volgens Experian te laag dus graag vooraf betalen”? Maar de AP merkt Experian zelf als verwerkingsverantwoordelijke aan. En dat is terecht: de winkels hebben nul invloed op wat Experian doet. Het hele punt is juist dat dat de winkels alleen een score willen horen.
Maar dan moet Experian zelf dus wel naar mensen toe zeggen “op basis van dit gegeven is je kredietscore gedaald” of “je huidige score is dit, op basis van X, Y en Z”. Dat gebeurde niet, althans niet altijd.
Dit raakt aan de fundamentele vraag of Experian haar grondslag – uiteraard gerechtvaardigd belang – wel rond krijgt. Als je overal gegevens vandaan haalt, die niet altijd over krediet of betaalgeschiedenis gaan, en dat niet uitlegt, dan is de score nogal een verrassing voor mensen. En dat is een probleem:
Dat geldt te meer voor de gegevens die Experian verkrijgt uit niet-openbare bronnen , zoals de negatieve betaalregistraties bij haar klanten. Met name ten aanzien van deze negatieve betaalregistraties bij haar klanten kan in dit geval niet (zonder meer) worden gesteld dat een betrokkene op het tijdstip en in het kader van de verzameling van de persoonsgegevens redelijkerwijs mag verwachten dat verwerking ten behoeve van kredietwaardigheidsbeoordelingen kan plaatsvinden.Het verbaast me wel dat Experian kiest voor een volledig vertrek. Data van Nederlanders wordt ook gewist, en zo te lezen wordt het dus onmogelijk om nog kredietscores voor Nederlanders op te vragen. In andere Europese landen blijft men wel actief, wat dan weer raar aandoet omdat de AVG in principe overal hetzelfde zou gelden.
Arnoud PS: Abusievelijk vermeldde ik “Nexperia” in de koptekst. Dit is aangepast.
In je titel staat Nexperia, maar in het artikel heb je het over Experian
Slordig! Was bezig met een blog over Nexperia tegelijkertijd. Aangepast.
Ik snap een heleboel niet aan dit verhaal, maar wil de blog niet vervuilen met talloze opmerkingen.
Een ‘helicopter-view’ achtige vraag wil ik echter wel stellen: Ik denk dat het maatschappelijk nuttig is dat er een organisatie is die objectief en eerlijk de kredietwaardigheid van mensen beoordeelt en die aan kredietverleners ter beschikking stelt.
Hoe zou zo’n organisatie zichzelf dan wel moeten inrichten om wel in overeenstemming met de AVG te zijn? Of is dat in de praktijk dan onmogelijk?
Hebben we dat niet al met het BKR? Voornaamste verschil met bijvoorbeeld de VS is alleen dat wij het hebben omgedraaid: in plaats van een hoge kreditscore te moeten “verdienen”, beginnen wij bij een positief advies en wordt dat negatief als je rekeningen niet betaald.
Correct me if I am wrong, maar is BKR niet meer iets voor ‘grote’ kredieten? Duur om te onderhouden en alles correct te doen, en dus ook duur voor potentiele kredietverleners om te gebruiken?
Zowel Experian als het BKR hebben een probleem en dat is gebrek aan transparantie. Er staat nergens wat je kredietscore ‘omhoog’ of ‘omlaag’ stelt – bij het BKR is het zelfs zo dat ze alleen kredieten en achterstanden registreren, maar het beoordelen van die kredieten over laat aan banken, die allemaal hun eigen voorwaarden er op hanteren die ze niet altijd duidelijk prijs geven.
En voor een bedrijf als Experian is het zo dat dat natuurlijk geen bug is maar een feature, het ‘beoordelen’ van data is hun verdienmodel. Met een transparant algoritme hoe het beoordeeld wordt zijn ze hun grote bedrijfsgeheim kwijt.
Is het redelijk om “gebrek aan transparantie” bij de kredietbeoordeling door banken toe te rekenen aan het BKR? Het BKR is heel transparant dat het slechts aan registratie doet.
Er zitten wat haken en ogen aan, maar in de kern lijkt het me niet onmogelijk. 1) Deelnemende winkels/bedrijven moeten toelichten welke gegevens ze verstrekken voor de kredietregistratie 2) Inzage in eigen dossier, inclusief recht van correctie (bv. valselijk aangemeld door boze winkelier) 3) Transparante berekening van kredietscore en wat je eraan kunt doen (“als je je creditcard standaard aflost dan kom je boven de 700”)
Het probleem hier was 1. Men verzamelt gegevens in bulk zonder zelf te weten wat en waarom, en laat er dan een ML model in grasduinen om met leuk uitziende correlaties te komen. Jij weet dus niet waarom Experia jou een 680 geeft, en kunt ook weinig doen om daar 720 van te maken. En dat winkel X boos op jouw review was en je dus aanmeldde als wanbetaler, kun je al helemaal niet achterhalen.
Maar dan wordt het weer administratief zwaar, en dus duur.
Ik denk dat Experian een rekensom gemaakt heeft en inziet dat er geen winst gemaakt kan worden als het bedrijf zich aan de AVG moet houden. Er zal een markt zijn, maar als de kosten groter zijn dan wat de markt kan opbrengen, dan heb je geen levensvatbaar bedrijf.
Heel blij met deze ontwikkeling. Die beoordelingen op basis van overal bijelkaargeharkte gegevens kunnen het mensen heel lastig maken, en is heel lastig te bestrijden — zelfs als je de gegevens al uit de database weet te krijgen (met veel kosten, die juist de wat minder draagkrachtigen niet goed kunnen dragen), is het leed al geschied.
Voor mij ook belangrijk is, is dat je hiermee het verstrekken van consumptief krediet wat afremt. Ikzelf denk dat elk verleend krediet gekoppeld moet zijn aan een onderpand, en dat het onderpand het risico op wanbetalers moet afdekken (zoals bij een hypotheek), zodat mensen niet verleidt worden om meer te consumeren dan ze eigenlijk kunnen betalen, en daardoor in de problemen komen (en de maatschappij moet inspringen met schulphulpverlening, daklozenopvang, en andere dingen die uit te grote schulden kunnen volgen).
Leer maar gewoon sparen voor dingen die je graag wilt hebben, ipv. alles op afbetaling kopen (en daardoor in feite ook veel meer te betalen.)
Ik kan er alleen maar blij mee zijn. Ik heb in het verleden korte tijd bij Experian gewerkt, maar toen ik er achter kwam hoe het er echt aan toe ging ben ik vertrokken. Het lijkt op het oog een “professioneel” bedrijf, althans zo willen ze zichzelf profileren, maar in realiteit weten ze drommels goed dat wat ze doen niet door de beugel kan. Teveel mensen op teveel posities hadden toegang tot allerlei gegevens en gebruikten die om hun eigen nieuwsgierigheid te bevredigen. Denk hierbij ook aan zaken als lijsten met boodschappen, informatie uit klantenkaarten en kortingsbonnen en andere acties. Mensen zaten hun ex of diens nieuwe partner op te zoeken, en gniffelend te schuddebuiken als ze zagen dat iemand die ze kenden een klant was die incontinentiemateriaal, aambeienzalf of erectiebevorderende middelen kocht. Er werden databases aangelegd die in de wandelgangen dan “de incontinentiedatabase” en zo genoemd werden. Het is een verschrikkelijk bedrijf dat alleen en uitsluitend uit is op geld, zonder maatschappelijke verantwoordelijkheid of enig ethisch besef. Ze manoeuvreren bewust zo dicht mogelijk langs de wettelijke grenzen en zijn continue op zoek naar manieren om dat op te rekken, en als ze denken er mee weg te kunnen komen gaan ze bewust die grens over. Ik ben blij dat ze weg gaan en ik hoop dat ze kapot gereguleerd gaan worden.
Ik vind het nogal stuitend dat ze blijkbaar toegang hebben/hadden tot dat dat soort gegevens, het lijkt mij dat dat medische gegevens zijn, en daarmee bijzondere persoonsgegevens, dat die gegevens daar uberhaupt terechtkomen is schandelijk (en het probleem ligt dan ook weer juist bij de bedrijven/instanties die dat soort gegevens doorspelen).
Waarde Gregorius, zou je niet overwegen om dit niet alleen hier neer te pennen, maar ook bij de AP te melden? De rot zit diep. Experian moet de eerste zijn in een lange serie. Alle leveranciers van dit soort data hebben hun zaakjes net zo goed niet op orde. Veel bedrijven verschuilen zich helaas achter een lange keten aan doorleveranciers.
Het weggaan klinkt als een puur financiele afweging.
Ik had verwacht dat het een Amerikaans bedrijf is maar Wikipedia zegt Ierland. Waarom lag dit dan eigenlijk bij de AP en niet de Ierse variant? (En het lang zal het duren voor iemand daar een klacht neerlegt, verwijzend naar de AP?)
De klacht was tegen Experian Nederland BV. Onderdeel van een internationale groep, maar de BV kan als zelfstandige rechtspersoon aangesproken worden.
De AP is waarschijnlijk het eerste schaap over de dam en ik verwacht dat vergelijkbare veroordelingen (gevolgd door het sluiten van Experian vestigingen) in andere landen zullen volgen.