Gegevens van KPN-klanten en van veel andere Nederlandse bedrijven worden via datahandelaren doorverkocht. Dat gebeurt zonder deze klanten daarover actief te informeren. Naar aanleiding van onthullingen hierover door RTL Nieuws heeft KPN aangekondigd die handel te zullen inperken.
Bedrijven als KPN en andere telecomproviders, maar ook bijvoorbeeld energiebedrijven of webwinkels waar op afbetaling kan worden gekocht, laten de kredietwaardigheid van nieuwe klanten checken door externe bureaus. De informatie die klanten hun verstrekken, zoals namen, adressen en leeftijden, wordt daartoe gedeeld met deze ‘kredietinformatiebureaus’.
Incassobureaus
Uit onderzoek van RTL blijkt dat de kredietinformatiebureaus die informatie vervolgens opslaan en combineren met informatie van andere bronnen om zo tot ‘profielen’ van mensen te komen. Die verkopen ze vervolgens weer aan andere klanten. Dat zijn vaak beveiligingsbedrijven en incassobureaus, die in de database van de kredietinformatiebureaus kunnen zoeken. Er zijn in Nederland duizenden beveiligings- en incassobedrijven.
Dat opslaan en combineren mag niet zonder dat mensen daar expliciet toestemming voor geven, zeggen privacyexperts tegen RTL. „Wij vinden dit niet in de haak”, zegt Gerard Spierenburg van de Consumentenbond. Volgens de Algemene verordening gegevensbescherming (AVG) zijn mensen zelf de baas over hun gegevens, legt hij uit. Ook moeten ze in staat zijn toestemmingen over het gebruik ervan weer in te trekken. Dat lukt niet als je niet weet waar je gegevens liggen en wie ze aan wie verkoopt.
Lees ook Een kleine schuld kan grote gevolgen hebben, ‘zoek het maar uit met je hypotheek, hoorden we’
Of de handel ook strafbaar is, is volgens de Consumentenbond „aan de toezichthouder of de rechter”. KPN zegt de kredietinformatiebureaus waarmee het werkt te hebben gevraagd de persoonsgegevens niet meer door te verkopen. Toezichthouder Autoriteit persoonsgegevens was niet bereikbaar voor vragen.
Drie kredietinformatiebureaus in Nederland zijn verenigd in brancheverening VvKi. Dat zijn Experian, Focum en EDR. In een lange, schriftelijke verklaring wijst de brancheverening de beschuldigingen van de hand: het combineren van gegevens zou niet tegen de regels zijn.
Volgens de vereniging worden burgers wel degelijk geïnformeerd over het gebruik van hun gegevens, hoewel uit de verklaring niet duidelijk blijkt hoe dat gebeurt en wie daarvoor verantwoordelijk is. Het zou volgens de VvKi onder meer staan in de privacyverklaringen op de websites van zowel de kredietinformatiebureaus als hun klanten. Wie daarmee instemt en met een toets van zijn kredietwaardigheid, geeft dan indirect toestemming.
Zo’n toets is tegenwoordig standaardonderdeel als je een abonnement afsluit of iets koopt op afbetaling. Webwinkels voeren hem bijvoorbeeld uit voordat ze een product opsturen dat nog niet is betaald. Bij elkaar gaat het om gegevens van miljoenen Nederlanders.
Voor het beoordelen van de kredietwaardigheid van mensen worden veel verschillende indicatoren gebruikt. Daarbij gaat het geregeld mis, merkt de Consumentenbond. „Mensen krijgen bijvoorbeeld problemen als ze een verzekering of hypotheek willen afsluiten, als ze in een bepaald postcodegebied wonen”, vertelt een woordvoerder. „Dat gaat op basis van algoritmes. Die methode is niet helemaal hetzelfde als het voortdurend verrijken van databases, maar het raakt elkaar wel.”
RTL onthulde verder dat via de databases van de kredietinformatiebureaus de adresgegevens te vinden zijn van mensen die politiebescherming hebben, omdat ze worden bedreigd. Een van hen is Telegraafjournalist John van den Heuvel. Hij reageerde geschokt bij RTL en zei een rechtszaak te overwegen.
