Kredietwaardigheidsonderzoek en de uitbesteding van incassodiensten aan gespecialiseerde dienstverleners zijn twee pijlers onder het credit management.
Daarmee wordt de verkoop van rekeningen en de efficiënte verwerking van te late betalingen pas mogelijk. Uitgerekend deze twee pilaren worden volgens de Bundesverband Credit Management e.V. (BvCM) uitgehold als de geplande EU privacy verordening onverkort wordt ingevoerd. Wat zijn de bezwaren van de BvCM? En wat betekent de nieuwe EU privacy verordening voor het credit management?
Historie
Sinds 2001 is in Nederland de Wet bescherming persoonsgegevens (Wbp) van kracht. Deze wet is de uitwerking van de EU verordening 95/96 EG. Voorafgaand aan deze wet was sinds 1995 slechts een Europese privacyrichtlijn van toepassing die geen wettelijke status had. De Wbp uit 2001 stelt regels voor het verwerken van ‘persoonsgegevens’, ofwel gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon. De wet is van toepassing op zowel geautomatiseerde als niet-geautomatiseerde verwerkingen van persoonsgegevens die in een bestand zijn opgenomen. In 2014 is in Nederland als aanvulling op de Wbp de Wet Meldplicht Datalekken (WMD) van kracht geworden.
De EU verordening 95/96 is bij de implementatie in de nationale wetgevingen van de lidstaten binnen de EU op verschillende wijzen vormgegeven. Dit zorgt naar de mening van onze Europarlementariërs voor rechtsonzekerheid. Bovendien is in brede lagen van de bevolking het beeld ontstaan dat online activiteiten aanzienlijke risico’s met zich meebrengen. Daarom heeft de Europese Unie het initiatief genomen voor vernieuwing van de Europese privacy verordening. Deze nieuwe wetgeving moet voor een krachtig en coherent kader voor gegevensbescherming binnen de EU en een scherpe handhaving daarvan zorgen. Hierdoor kan de digitale economie zich op de hele interne markt ontwikkelen, kunnen burgers zelf bepalen wat er met hun gegevens gebeurt en is er meer rechtszekerheid voor bedrijven en overheden. De EU wil met deze verordening het vertrouwen bij burgers en consumenten in de verwerking van persoonsgegevens door de overheid en bedrijven vergroten.
De belangrijkste wijzigingen van de nieuwe EU privacy verordening
1. Er komt één toezichthouder voor heel de EU
Voor bedrijven die in meerdere lidstaten werken, en dat zijn er nogal wat binnen de creditmanagementdienstverlening, is dit goed nieuws. Nu hebben zij te maken met verschillende nationale toezichthouders. In de toekomst krijgen deze bedrijven met één Europese toezichthouder te maken. Voor bedrijven die niet in meerdere lidstaten werken, verandert er niets. Zij blijven te maken krijgen met hun nationale toezichthouder zoals in Nederland het College Bescherming Persoonsgegevens (CBP0.
2. Er komen nieuwe rechten voor natuurlijke personen
De verordening introduceert het recht van eigendom van de informatie van een natuurlijke persoon en er komt het recht om vergeten te worden. Recent heeft het Europees Hof in een zaak tegen Google bepaald dat een natuurlijke persoon het recht heeft om te vragen zijn persoonsgegevens te verwijderen uit zoekresultaten. Een dergelijk recht wordt nu ook in de verordening vastgelegd. Dit betekent dat een organisatie persoonsgegevens moet verwijderen indien:
- er niet langer een noodzaak is om de gegevens te bewaren gelet op het doel waarvoor de gegevens verzameld zijn;
- de natuurlijke persoon zijn toestemming intrekt om de persoonsgegevens te bewaren;
- de natuurlijke persoon bezwaar maakt tegen het gebruiken van zijn persoonsgegevens;
- de organisatie de verordening niet naleeft.
Daarnaast krijgt een natuurlijke persoon ook het recht om een kopie te vragen of om overheveling van zijn persoonsgegevens te verzoeken.
3. Privacybeleid
Dienstverleners in credit management krijgen de verplichting om, nog meer dan nu al het geval is, goed te documenteren waar hun informatie vandaan komt en over wie het gaat. Nu geldt onder omstandigheden een meldplicht bij het CBP. Onder de nieuwe verordening worden bedrijven verplicht om het doel van de bewerking van persoonsgegevens te beschrijven en het proces correct in te richten.
Iedere organisatie die met persoonsgegevens werkt, krijgt nu de verplichting om een privacybeleid te formuleren en daarin alle wettelijke eisen op te nemen. Dit zal ook tot gevolg hebben dat zij een verantwoordelijke manager moeten aanstellen die voor alle interne processen en data verantwoordelijk is die met de omzetting van de EU privacyrichtlijn verband houden.
Wat zijn de voornaamste bezwaren van de BvCM?
In Duitsland bestaat de concrete vrees dat bestaande kredietwaardigheidsonderzoeken en -systemen in de toekomst onmogelijk zullen worden gemaakt. Het bedrijfsleven is op deze dienstverlening echter aangewezen. De exacte bezwaren van BvCM zijn:
Kredietinformatie en creditmanagementdienstverlening worden onmogelijk gemaakt
De plannen van de EU privacy verordening raken in het bijzonder de businessmodellen kredietinformatie en incassodiensten. Twee dienstverleningen zonder welke credit management niet meer kan functioneren. Men vreest dat specifieke, in de EU privacy verordening opgenomen regelingen deze diensten in de huidige vorm in de toekomst onmogelijk maken.
a. Handelsinformatiebedrijven kunnen betalingservaringen van ondernemingen niet meer gebruiken
Artikel 6 van de verordening beschrijft de rechtsgrondslag voor de dataverwerking door ondernemingen, in het bijzonder van handelsinformatiebedrijven en incassobureaus. Hierin is in de huidige formulering van de verordening niet gegarandeerd dat handelsinformatiebedrijven in het belang van hun klanten kredietinformatie mogen verzamelen. Het nauw gedefinieerde principe van de doelstelling van de dienstverlening staat handelsinformatiebedrijven niet meer toe om betalingservaringen van ondernemingen in hun databank vast te leggen en te gebruiken bij de handelsinformatie. Tevens is het bedreigend dat ondernemingen data over te late of nog uitstaande betalingen van vorderingen niet meer aan incassodiensten mogen leveren. De gevolgen voor de totale economie liggen voor de hand. Hoe moeten credit managers tot een besluitvorming komen als er geen kredietinformatie meer is?
b. Rechtsgeldig opgeslagen kredietinformatie moeten willekeurig worden vernietigd
Een ander negatief aspect komt voort uit de wisselwerking tussen artikel 17 en artikel 19 van de verordening. Deze regeling zou in ongewijzigde vorm ertoe kunnen leiden dat handelsinformatiebedrijven zinvolle kredietinformatie, zoals informatie van faillissementen of faillissementsaanvragen of data uit een openbare schuldregistratie (zoals de BKR), moeten vernietigen, omdat een betroffen persoon dit met een gerechtelijk besluit kan afdwingen. Historische data moeten immers worden vernietigd omdat een individu er recht op heeft dat feiten uit zijn verleden vergeten moeten worden. Hoe snel zich informatie in de eeuw van het internet ook verbreidt, dit mag er niet toe leiden dat een individu zich altijd mag verzetten tegen behoud van zijn data. Een willekeurige vernietiging van de data zou leiden tot misbruik. Dat dit geen ongegronde vrees is, tonen ervaringen in vergelijkbare situaties aan. Het vastgelegde recht op verzet mag daarom niet misbruikt worden om rechtsgeldige kredietinformatie willekeurig te vernietigen.
Koop op rekening is bijna niet meer mogelijk
Als de EU privacy verordening onveranderd tot stand komt, zal de kredietverlening niet meer op goed functionerende kredietinformatiesystemen en creditmanagementdienstverlening kunnen terugvallen. Bijna alle ondernemingen verstrekken leningen of handelskredieten. Dit functioneert alleen op basis van wederzijds vertrouwen. Vertrouwen schept functionerende kredietbeoordelingssytemen, die kredietverstrekkers bij hun kredietbeslissingen ondersteunen. Zodra er geen kredietbeoordeling van handelspartners meer worden uitgevoerd, omdat een betrouwbare informatiebasis ontbreekt, zullen vele businessmodellen niet meer in ongewijzigde vorm blijven bestaan. Illustratief is hiervoor het postorderbedrijf en handel via internet op rekening, die zonder kredietbeoordeling niet meer mogelijk zou zijn. Juist dit voorbeeld toont aan dat functionerende kredietbeoordelingssytemen niet alleen de verkoper dienen, maar ook voor de consumenten van belang zijn. Want zij zullen afscheid moeten nemen van de populaire levering op rekening.
Handelsinformatie beschermt de consumenten
Handelsinformatiebedrijven beschermen niet-kredietwaardige consumenten voor te hoge schulden. In situaties waar een te geringe kredietwaardigheid van consumenten aan de orde is, leveren handelsinformatiebedrijven ook een onontbeerlijke bijdrage aan de nationale economie van een land door de bescherming van consumenten. Tenslotte maakt individuele handelsinformatie kredietverlening juist aan die personen mogelijk die anders op basis van een uniforme scoring van een verbruikersgroep geen toegang tot kredieten zouden krijgen. De BvCM pleit hier zo te zien voor individuele ratings in plaats van uniforme scorings van groepen of typen consumenten.
Een bewezen businessmodel wordt afgedankt
Lobbyisten en andere belangengroeperingen hebben – niet alleen uit eigenbelang – met talrijke adviezen en veel lobbywerk geprobeerd gehoor te krijgen bij diverse verantwoordelijke EU-parlementariërs om de gevolgen van de geplande wetgeving onder de aandacht te brengen. Helaas tot nu toe tevergeefs.
Wie de beschreven negatieve gevolgen nog wil voorkomen, voordat de wetgeving in zijn laatste besluitvorming gaat, moet de verantwoordelijke parlementariërs, ministers en staatssecretarissen op nationaal niveau en de verantwoordelijke Europarlementariërs benaderen. Anders is er een gerede kans dat een toekomstige privacy verordening wordt ontwikkeld die weliswaar een moderne en hoge privacybescherming biedt, maar niet kan voorkomen dat een complete branche als die van handelsinformatie en incassodiensten niet langer meer in de huidige vorm mogelijk is. Het lijkt er soms op dat de verantwoordelijke functionarissen binnen creditmanagementbedrijven de dreigende uitwerking van de op handen zijnde privacy verordening niet onderkennen. Tot zover de mening en de oproep van onze Duitse collega’s.
Wat is de mening van de Nederlandse credit managers?
In Nederland is er relatief weinig ophef over de op handen zijnde wetswijzigingen van de Wbp. Hieruit zou je kunnen concluderen dat de creditmanagementcommunity niet zo bezorgd lijkt te zijn over de aanstaande verordening als onze Duitse collega’s.
De futuroloog Jeremy Rifkin beweert dat privacy een ouderwets idee is, een achterhaalde eigenaardigheid van het industriële tijdperk. In Nederland is sprake van de zogenaamde privacyparadox. Dat betekent de gemiddelde Nederlander niet de privacyverklaring van bedrijven leest, terwijl circa 80% van alle Nederlanders de bescherming van zijn persoonsgegevens wel belangrijk vindt. Uit onderzoek blijkt dat Nederlanders niet goed weten – of geen mening hebben – of hun overheid genoeg doet om hun privacy voldoende te beschermen. Dat is in Duitsland anders. Duitsers zijn zeer gevoelig en actief betrokken bij de verdediging van hun privacy. En de Duitse overheid zorgde voor de beste privacywetgeving in Europa.
Wat is de rol van de Nederlandse overheid?
De Nederlandse regering is erg actief om ervoor te zorgen dat het ‘gerechtvaardigd belang van de verantwoordelijke’ als grond voor verwerking van persoonsgegevens zoveel mogelijk inhoud blijft krijgen in de nieuwe wetgeving. Het gaat hier om de enige verwerkingsgrond waarin het belang van het bedrijf dat gegevens verwerkt zelf de rechtvaardiging vormt voor de verwerking. Met andere woorden, een handelsinformatiebedrijf mag data verzamelen en verwerken omdat dit de bedrijfsdoelstelling is en hoeft zich niet tegenover elke natuurlijke persoon afzonderlijk te verantwoorden. Als deze vanzelfsprekendheid te veel wordt uitgehold, beperkt dat, in de woorden van staatssecretaris Dijkhoff, ‘innovatief gebruik van gegevens door de private sector’. Dat zou zonde zijn, want de bedoeling van de verordening is mede een bijdrage te leveren aan de ontwikkeling van de digitale economie. De benadering van de Nederlandse verantwoordelijke politici is weliswaar zeer waardevol, maar komt bij lange na niet aan de bezwaren van onze Duitse collega’s tegemoet.
Nieuwe ronde nieuwe kansen
Maar wellicht denkt de gemiddelde Nederlandse credit manager helemaal niet na over bedreigingen, maar juist over de kansen die de nieuwe Europese privacywet zal kunnen bieden. Men zou met ideeën kunnen komen voor toepassingen waarin de bescherming van de data in de creditmanagementprocessen wordt ingebouwd. Waar ieder individu zelf kiest waarvoor zijn of haar data gebruikt mogen worden op basis van de voordelen die de persoon zelf ziet. Waar nieuwe diensten zullen ontstaan die de kwaliteit, actualiteit en privacy van informatie zullen documenteren en bewaken. Dit past niet in het Facebook- en Googlemodel van vrije commerciële toegang tot persoonlijke data, maar het zou wel de toekomst van het credit management kunnen worden.
En wat te denken van een omgekeerd businessmodel? Niet meer ongevraagd informatie verzamelen over elk individu of bedrijf, maar in opdracht van het individu of bedrijf. Geen unsolicited ratings meer, maar solicited ratings in opdracht van de belanghebbende. Dit zou kunnen betekenen dat de informatie vele malen actueler, dieper en betrouwbaarder wordt dan nu het geval is. Een individu mag volgens de nieuwe wet zelf bepalen of en welke informatie hij voor hoe lang beschikbaar stelt. Alleen al aan de hand van de volledigheid van de beschikbaar gestelde data is af te leiden hoe transparant een individu is. Dat zegt vaak meer dan de informatie zelf. Voor handelsinformatiebedrijven kan dit zeer winstgevend worden. Immers feiten kosten geld, meningen zijn in de regel gratis. In elk geval op internet. De nieuwe wet biedt ook kansen om de concurrentie met technobedrijven aan te kunnen die zich in de komende tijd nadrukkelijk op de markt van informatieverstrekking, kredietbeoordeling of financiering en betalingsverkeer willen manifesteren.
Apple komt met Apple pay. Google heeft een bankvergunning. En Facebook kreeg patent op een naar verluid revolutionaire techniek waarmee financiële instellingen het sociale netwerk kunnen gebruiken om de kredietwaardigheid van een potentiële klant te beoordelen. Volgens het Amerikaanse zakenblad Fortune komt de patentaanvraag uit de portfolio van Friendster, een bedrijf dat Facebook in 2010 kocht voor $40 mln. De investeringen van Facebook en Google in dergelijke toepassingen liegen er dus niet om. Dan is het wellicht een hele geruststelling dat door de nieuwe privacywetgeving kansen worden geboden die de technobedrijven niet kunnen grijpen. Is dat onze boodschap aan onze Duitse collega’s? U mag het zeggen.
Bron: De Credit Manager jaargang 26 nummer 3
Wilt u meer weten over de impact van de EU privacy verordening voor credit management? Bezoek dan ook de VCMB/VVCM sessie “Data protection, privacywetgeving & eID Digitale Identiteit Stelsels” met Prof. mr. dr. Gerrit-Jan Zwenne hoogleraar recht in de informatiemaatschappij bij de afdeling eLaw@Leiden op Credit Expo 2015 op donderdag 5 november aanstaande in Nieuwegein.