Credit Scoring: Negatieve credit rating gegenereerd zonder gegevens

Aug 04, 2020

noyb.eu een GDPR-klacht ingediend tegen het ratingbureau "CRIF", dat in meer dan 28 landen actief is. CRIF kende een "score" toe van precies 446 uit 700 mogelijke kredietpunten voor een schuldvrije elektriciteitsconsument met een goedbetaalde vaste baan. Dit is verbazingwekkend, want CRIF heeft meerdere malen benadrukt dat zij de betreffende persoon niet kende en geen gegevens over hem had opgeslagen. De score is uit het niets berekend. Het gevolg was echter zeer reëel: het elektriciteitsbedrijf weigerde een contract met hem te tekenen.

Als een tovenaar met een konijn heeft CRIF "kredietwaardigheid" uit het niets tevoorschijn getoverd.

Een elektriciteitsklant wilde een nieuw elektriciteitscontract ondertekenen. De energieleverancier weigerde onverwacht het contract te ondertekenen. De reden: zijn kredietwaardigheid was te laag - nogal verrassend gezien zijn inkomen en beroep, dat meer dan voldoende zou moeten zijn om elektriciteit te betalen. In antwoord op verdere vragen werd uitgelegd dat zijn CRIF-kredietscore slechts zou zijn 446 punten, terwijl de minimumeis voor een energiecontract was 650 punten. De klant heeft vervolgens CRIF benaderd en verzocht om toegang tot zijn informatie in overeenstemming met artikel 15 GDPR. CRIF heeft daarop gereageerd met de bewering dat zij geen persoonlijke gegevens over hem als consument heeft opgeslagen. De negatieve score moet dus uit het niets zijn gekomen.

"CRIF's reactie is verbluffend. Hoe kan een exacte kredietscore worden berekend als er geen gegevens over de persoon zouden zijn opgeslagen? Het lijkt erop dat CRIF een vlijmscherpe score van 446 punten heeft berekend op basis van alleen al de aanvraaggegevens, d.w.z. naam, adres en geboortedatum. Wie op het verkeerde adres woont of een verkeerde geboortedatum heeft, krijgt geen elektriciteitscontract. "Het is waarschijnlijk eerlijker om je ogen te sluiten en een willekeurig getal tussen 1 en 700 te kiezen." - Alan Dahi, privacy advocaat voor noyb.eu

De gegevensverwerking moet volgens de GDPR aan bepaalde principes voldoen. Een daarvan is het principe van de juistheid van de gegevens, oftewel de nauwkeurigheid - persoonsgegevens moeten inhoudelijk juist zijn. Willekeurige "voodoo"-scores die klanten stigmatiseren en uitsluiten van elektriciteitsvoorziening zijn duidelijk illegaal.

"Als een persoon niet in de CRIF-databank is opgeslagen, moet het resultaat "Persoon onbekend" zijn, niet 446.". Een score zonder basis is inherent onjuist en dus een overtreding van de GDPR". - Alan Dahi, privacy advocaat voor noyb.eu

Handelsgeheim? De klant van elektriciteit zit in het donker.

CRIF weigerde uit te leggen hoe de kredietscore was berekend, ondanks herhaalde verzoeken - hoewel volgens de GDPR iedere betrokkene het recht heeft om de logica achter dergelijke berekeningen te kennen. Dit werd gerechtvaardigd door de algemene bewering dat het besluitvormingsproces van CRIF "een handelsgeheim" was; zo'n "geheim" dat de getroffen elektriciteitsklanten letterlijk in het duister kan laten tasten.

"Ten eerste kunnen consumenten geen contracten meer sluiten omdat er volstrekt onlogische beoordelingen worden uitgevonden. Dan kun je niet eens weten hoe deze beoordelingen worden gemaakt. De consument wordt een pion in een algoritme." - Alan Dahi, privacy advocaat voor noyb.eu

Geen elektriciteit - en geen verantwoordelijke persoon

De elektriciteitsleverancier noemde de CRIF-kredietscore, die te laag was, de enige reden waarom het niet mogelijk was om energie te leveren en diende het van CRIF verkregen kredietrapport in als bewijs. De klant werd niet in de gelegenheid gesteld om te bewijzen dat zijn kredietwaardigheid in feite onberispelijk was en toch een elektriciteitscontract te verkrijgen. Desgevraagd heeft CRIF echter verklaard dat er geen kredietbeoordeling door CRIF is uitgevoerd. De beslissing om het contract al dan niet te sluiten zou uitsluitend door de elektriciteitsleverancier worden genomen

Klacht ingediend, met een mogelijke boete van maximaal 20 miljoen euro

Vanwege het gebrek aan informatie en de duidelijk onjuiste gegevens heeft noyb een eerste klacht ingediend bij de bevoegde Oostenrijkse gegevensbeschermingsautoriteit.

"Wij hebben de gegevensbeschermingsautoriteit verzocht de verwerking door CRIF nauwkeurig te onderzoeken. De autoriteit kan dit soort arbitraire kredietratingbeslissingen verbieden en er ook een sanctie voor opleggen. Dit zou valse beoordelingen minder waarschijnlijk moeten maken - Alan Dahi.

noyb neemt kredietagentschappen in het middelpunt van de belangstelling

Kredietbeoordelingsbureaus hebben soms grote macht over consumenten en hebben tot nu toe weinig verantwoordelijkheid getoond bij de uitoefening van deze macht. Vaak volgen zij nationale tradities in plaats van de BBPR, die sinds 2018 in heel Europa van kracht is. Niet alleen is de kwaliteit van de berekeningen vaak twijfelachtig, het is zelfs onduidelijk op welke basis particuliere ondernemingen zoals CRIF of de Schufa in Duitsland zichzelf het recht geven om grote databanken op te zetten over de financiën van miljoenen Europeanen.

"We zien eerlijk gezegd geen basis voor deze bedrijven om een gegevensverzameling te maken over de financiën van elke burger. De klacht tegen CRIF is dan ook slechts een eerste stap. In de komende maanden en jaren zullen we de hele sector stuk voor stuk en in heel Europa onderzoeken en passende GDPR-procedures voeren". - Alan Dahi, privacy-advocaat bij noyb.eu