Data voodoo: Kredietagentschap CRIF creëert kredietwaardigheid uit het niets. Gegevensbeschermingsautoriteit eist ook openbaarmaking van "scorende" logica.
Na een goed jaar heeft de Oostenrijkse gegevensbeschermingsautoriteit (DPA) een besluit genomen over onze eerste klacht tegen het kredietbeoordelingsbureau CRIF. CRIF had een betrokkene een negatieve kredietwaardigheid toegekend hoewel de persoon onbekend was bij het kredietagentschap. De betrokkene geen elektriciteitscontract kreeg vanwege zijn vermeende "slechte" kredietwaardigheid
De DPO merkt enerzijds op dat CRIF aan de bevragende ondernemingen moet meedelen dat de "kredietwaardigheid" alleen werd berekend op basis van adres, geslacht, naam en geboortedatum. Bovendien moet het CRIF (anders dan bijvoorbeeld in Duitsland) de betrokken consument uitleg geven over de puntentelling.
De informatie was onvoldoende - CRIF moet uitleggen hoe de score tot stand is gekomen. De betrokkene had een beroep gedaan op zijn recht van toegang uit hoofde van artikel 15 GDPR om de doeleinden van de verwerking en de ontvangers van zijn gegevens op te vragen. Deze week oordeelde het CBP dat de kredietbeoordeling door het CRIF als "profilering" moet worden beschouwd, omdat personale gegevens werden beoordeeld en geanalyseerd om te voorspellen hoe groot de kans is dat de betrokkene in de toekomst in gebreke blijft. De functionaris voor gegevensbescherming beschouwt de activiteiten van het CRIF als een bijzonder intensieve inmenging in de rechten van de betrokkene op het gebied van gegevensbescherming - ten slotte was de klagertenslotte werd aan de klager een negatieve score toegekend hoewel hij nooit een echte betalingsgeschiedenis had veroorzaakt (zoals incassoprocedures of insolventieprocedures). CRIF had getracht zelfs minimale transparantie te vermijden en had tot het einde van de procedure elke uitleg geweigerdhet CRIF had getracht zelfs minimale transparantie te vermijden en weigerde tot het einde van de procedure uit te leggen hoe het aan de specifieke score was gekomen. Zonder succes - de DPO heeft CRIF nu bevolen om CRIF om informatie te verstrekken. Alleen de concrete computerlogica is beschermd als bedrijfsgeheim.
Alan Dahi, Datumn beschermingsadvocaat bijniemand: „Het besluit is een belangrijke stap naar meer transparantie voor de betrokkenen. Kredietbureaus hebben altijd een compleet geheim gemaakt van hun interne processen, hoewel zij graag hun geld verdienen met andermans informatie. Nu het is duidelijk: onder de GDPR moeten kredietbureaus ook op een begrijpelijke manier uitleggen hoe hun soms absurde scores tot stand komen. Wij zijn benieuwd hoe CRIF de volstrekt willekeurige score van de betrokkene in dit geval zal verklarenn wil uitleggen.“
Onwettige berekening van kredietwaardigheid op basis van demografische gegevens Daarnaast heeft de functionaris voor gegevensbescherming ook kritiek geuit op het gebrek aan transparantie van CRIF tegenover zijn klanten. CRIF maakt onvoldoende bekend dat de verkochte kredietwaardigheidsscore in de meeste gevallen louter wordt berekend op basis van demografische gegevens zoals geslacht, leeftijd en woonplaatsleeftijd en woonplaats. Voor klanten van het CRIF wekt dit de indruk van een slechte kredietwaardigheid, zonder dat de betrokkene ooit negatieve betalingservaringen heeft opgedaan. Uiteindelijk kan dit leiden tot een aantasting van de economische fode DPO heeft daarom besloten dat CRIF zich in dergelijke gevallen niet kan beroepen op de legitieme belangen uit hoofde van artikel 6, lid 1, onder f), van de GDPR, omdat het belang van de betrokkene om niet te worden gediscrimineerd bij handelstransacties niet wordt beschermdde belangen van de betrokkene om niet benadeeld te worden bij commerciële transacties wegen zwaarder dan de verwerkingsbelangen van het CRIF. Nu moet het CRIF zijn kredietrapporten volledig herontwerpen - zodat een betrokkene aan de klanten van het CRIF eerlijk kan uitleggen waarom de door het CRIF verstrekte score van weinig waarde isscore afgegeven door CRIF heeft weinig heeft weinig te maken met de werkelijkheid.
Alan Dahi: „Het CRIF moet zijn klanten inderdaad meedelen dat het in feite slechts om voodoo-scores gaat, die worden berekend berekend zonder enige echte gegevens die relevant zijn voor de kredietwaardigheid. De score berekend door niemand is geen op zichzelf staand geval. Laust 10% van de Oostenrijkers heeft negatieve gegevens volgens de eigen informatie van het CRIF - dus 90% heeft alleen een adres, geboortedatum en naam.“
Het besluit van de DPO is niet juridisch bindend. We nemen aan dat niemand maar ook CRIF zal delen van het meer dan 20 pagina's tellende besluit aanvechten.