In deze derde blog in de reeks over data en privacy, ga ik in op fraudepreventie en credit scoring. Want ook als je data inzet voor fraudepreventie en credit scoring, heb je te maken met de privacy van consumenten – en dus met de nieuwe Europese privacywetgeving (AVG). Wat moet je als credit manager weten?

Wat verandert er?

Allereerst is het goed om te weten dat er relatief weinig verandert voor fraudepreventie en credit scoring. Bedrijven waren namelijk al gebonden aan de gedragscode van de NHV, waar veel van dezelfde regels in zijn opgenomen. De AVG maakt deze gedragscode wel explicieter. Dat wil zeggen dat bedrijven niet meer alleen aan de voorschriften moeten voldoen, maar dit ook moeten documenteren en kunnen aantonen. Zo niet, dan kunnen er hoge boetes worden opgelegd.

Ik licht kort toe wat er precies van je verwacht wordt als creditmanager om de privacy van consumenten te waarborgen en om boetes te voorkomen.  

Grondslag voor verzamelen van persoonsgegevens

Voor de wet begint alles met de rechtmatigheid van het doel waarvoor je persoonsgegevens verzamelt en verwerkt. Dat geldt voor alle verwerkingen van persoonsgegevens, of deze nu uit openbare bronnen komen of uit je eigen systeem. Je moet bij iedere verwerking je afvragen: waarom weegt het belang van jouw organisatie (bescherming tegen betalingsrisico’s en fraude) zwaarder dan de privacy van de persoon in kwestie? Dat moet je kunnen rechtvaardigen tegenover de Autoriteit Persoonsgegevens (AP). De AP is overigens coulanter bij fraudepreventie en betalingsrisico’s doeleinden dan bij marketingdoeleinden.

Toestemming van de consument

De nieuwe wet vereist dat je toestemming vraagt van de consument voor het verzamelen en verwerken van zijn gegevens, en dat helder en expliciet doet. Dat wil zeggen dat een huurder waar je een antecedentenonderzoek naar doet, actief daarmee moet instemmen. Niet in de kleine lettertjes, maar actief én hij of zij moet op de hoogte zijn van wat je met die gegevens doet en hoe lang je deze gebruikt. Hij kan, logischerwijs, ook weigeren.

Gegevens inzien, corrigeren en verwijderen

De consument heeft ook het recht om zijn gegevens in te zien, te wijzigen, te verwijderen en je moet ze kunnen overdragen. Dat wil zeggen dat je als bedrijf moet weten waar je die gegevens vandaan hebt en ze te allen tijde uit je systeem kunt halen en kunt tonen aan de consument.

Documentatieplicht

Tot slot is de wet aangescherpt op het gebied van de documentatieplicht voor bedrijven. Je bent verplicht om nauwkeurig bij te houden wat je met die gegevens doet en waar ze vandaan komen. Je mag die gegevens niet langer opslaan dan nodig is voor het doel waarvoor je ze gebruikt en moet aan kunnen tonen dat je dat doet.

Wat doet Matrixian Group?

Matrixian group verzamelt alle data uit openbare bronnen. Wij kopen geen data op van andere partijen. Wij documenteren precies wat we doen met de gegevens en waar ze vandaan komen. Ook sluiten wij met de partijen waar wij op grote schaal gegevens voor verwerken, de verplichte overeenkomsten af.

In wezen verandert er dus niet veel voor credit managers als de AVG van kracht wordt op 25 mei. Zolang je een goed privacybeleid voert en dit goed documenteert, ben je veilig als de Autoriteit Persoonsgegevens aanklopt.