Een onderzoek naar gegevensstromen bij het Oostenrijkse kredietagentschap CRIF heeft meer licht op de zaak geworpen: de meeste adresgegevens in de CRIF-database zijn afkomstig van adressenhandelaren AZ Direct (Bertelsmann Group), Compass-Verlag en DPIT in Wenen. Maar waar halen deze adressenhandelaren hun gegevens vandaan? Een nieuw noyb evaluatie waarbij meer dan 2400 betrokken personen betrokken waren, toont aan dat ze toegang hebben tot openbare registers zoals het bedrijven- en kadaster, het verenigingenregister en het bedrijfsinformatiesysteem (GISA) dat in 2015 werd ingevoerd. Compass vermeldt ook de Kamer van Koophandel (WKO) als gegevensbron. Het blijft echter onduidelijk waar AZ Direct (de grootste dataleverancier van CRIF) zijn gegevens vandaan haalt. AZ Direct zegt niet te weten waar het de gegevens over 7 miljoen mensen in Oostenrijk vandaan heeft.
Gegevens uit openbare registers. Het kredietagentschap CRIF verkrijgt het merendeel van haar adresgegevens van de adressenmakelaars AZ Direct, Compass-Verlag en DPIT. Dankzij toegangsverzoeken namens de meer dan 2400 deelnemers aan het CRIF-project, weten we nu: de drie adressenmakelaars gebruiken voornamelijk openbare registers zoals het handelsregister, het verenigingenregister en het handelsregister.
Max Schrems, voorzitter van noyb: "Natuurlijk zijn deze registers eigenlijk niet bedoeld om aan de wensen van datamakelaars te voldoen, maar om rechten, eigendom en vertegenwoordigingsbevoegdheid aan te tonen."
Kadaster, handelsregister, ZVR, GISA en WKO. Concreet geeft Compass-Verlag vaak aan dat het gegevens heeft verkregen uit het handelsregister, het verenigingenregister (ZVR) en het handelsregister (GISA). De Kamer van Koophandel (WKO) verschijnt ook als bron en geeft blijkbaar gegevens van haar eigen leden door. Ondertussen geeft DPIT aan dat het toegang heeft tot het kadaster, het handelsregister en het handelsregister. Dit betekent dat elke zelfstandige, elke eigenaar van onroerend goed en iedereen die actief is in een vereniging mogelijk geregistreerd is. Het is echter niet de informatie over eigendom of zakelijke activiteiten die wordt gebruikt voor kredietbeoordelingsdoeleinden. In plaats daarvan worden alleen namen, geboortedata en adressen gebruikt.
Max Schrems: "Openbare registers worden gebruikt als adresboek, niet voor hun eigenlijke doel om economisch of juridisch bewijs te leveren. Uiteindelijk worden de economisch relevante gegevens helemaal niet gebruikt voor kredietbeoordeling - het gaat alleen om de stamgegevens."
Overheid doet niets tegen 'schrapen' van openbare registers? Openbare registers zijn onmisbaar in een goed bestuurde rechtsstaat (bijvoorbeeld om te controleren of iemand een bedrijfsvergunning heeft of eigenaar is van een pand). In het verleden moest dit handmatig gebeuren. Dankzij de digitalisering zijn de meeste registers nu ook online beschikbaar - maar blijkbaar vaak zonder voldoende bescherming tegen 'scraping' op grote schaal. Basale beschermingsmaatregelen zoals captcha's, zoeklimieten per IP-adres of algemene voorwaarden die duidelijk bepalen dat gegevens alleen voor specifieke doeleinden mogen worden gebruikt (bijv. om een handel, eigendom of vertegenwoordigingsbevoegdheid te verifiëren) lijken te ontbreken.
Max Schrems: "Oostenrijk mist duidelijke technische en wettelijke regels om massaal schrapen voor andere doeleinden te voorkomen. Iedereen die zijn eigen privacy probeert te beschermen wordt momenteel door de staat "ge-out" - en bedrijven verzamelen deze gegevens op grote schaal. Het is hoog tijd dat politici dit misbruik aan banden leggen met technische query-limieten en duidelijke doelbeperkingen. Wij houden geen verenigingenregister bij voor de reclame-industrie of voor datahandelaren."
De wet is duidelijk: openbare registers zijn onderworpen aan 'doelbeperking'. Het is niet alleen duidelijk dat dit commerciële hergebruik niet in het algemeen belang is, het is ook in strijd met het GDPR-beginsel van 'doelbinding' in Artikel 5(1)(b) GDPR. De Oostenrijkse gegevensbeschermingsautoriteit (DSB) heeft met betrekking tot het Kadaster al besloten dat bijvoorbeeld verdere verwerking voor reclamedoeleinden in strijd is met de GDPR. De bekende Uitspraak van het HvJEU over het 'recht om vergeten te worden' had ook betrekking op wettelijk gepubliceerde gegevens, die echter niet zomaar hergebruikt konden worden door Google Search.
Max Schrems: "Dat gegevens openbaar zijn, betekent niet dat ze voor elk doel gebruikt kunnen worden. Je kunt niet zomaar mensen op een openbare straat filmen voor je eigen doeleinden."
AZ Direct: 7 miljoen datarecords zonder bron? Ondertussen onthult AZ Direct, onderdeel van de grote Duitse Bertelsmann Group, een heel ander probleem: ondanks de wettelijke verplichting om informatie te verstrekken, heeft de adresdealer voor bijna geen van de 2.400 deelnemers specifieke gegevensbronnen bekendgemaakt. AZ Direct heeft echter in totaal meer dan 7 miljoen gegevensrecords aan CRIF verkocht. Het is op dit moment volstrekt onduidelijk waar de grootste dataleverancier van CRIF zijn informatie vandaan haalt - wat het ook onmogelijk maakt om je GDPR-rechten uit te oefenen.
Max Schrems: "Het is volkomen belachelijk dat een dochteronderneming van Bertelsmann, die over de privégegevens van 7 miljoen mensen in Oostenrijk beschikt, niet weet waar de gegevens vandaan komen. Op dit moment kan een dataset die bijna iedereen in Oostenrijk bevat van elke bron afkomstig zijn - de betrokkenen hebben geen manier om te controleren of de bronnen legaal zijn."
Weg naar collectieve rechtszaak: Gedetailleerde evaluatie bijna voltooid. noyb werkt verder aan een gedetailleerde evaluatie van de kredietscores van de 2400 deelnemers. Samen met een professor in financiële wiskunde worden de meer dan 28.000 ontvangen scores vergeleken met de werkelijke financiële gegevens van de betrokkenen om uit te zoeken of de CRIF-scores statistisch correct zijn. Op dit moment lijkt alles erop te wijzen dat de CRIF-score weinig te maken heeft met de werkelijke individuele financiële situatie en geen betrouwbare risicobeoordeling biedt voor mensen die hun rekeningen altijd betalen. Voor deze 90% van de bevolking is de score in wezen alleen gebaseerd op leeftijd, geslacht en adres. Verdere resultaten worden in de komende weken verwacht. Daarna zal noyb beslissen of er een grotere class action rechtszaak tegen CRIF wordt aangespannen, die waarschijnlijk miljoenen mensen zal treffen. In het geval van onrechtmatige verwerking van persoonsgegevens kan elke getroffen persoon aanspraak maken op relevante schadeclaims.
