Door Follow The Money, het onafhankelijke mediaplatform voor onderzoeksjournalistiek, ben ik gevraagd om mijn visie te geven op real time gegevensverwerking ten behoeve van kredietmanagement. Ik leg uit dat deze vorm van ‘big data’ de nodige risico’s met zich meebrengt in het licht van privacyrecht.

Kredietwaardigheids-checks geautomatiseerd

Kredietwaardigheid werd tot kort geleden alleen gebaseerd op historische data zoals gedeponeerde jaarrekeningen bij de Kamer van Koophandel. Nu blijkt dat op softwarematige wijze financiële data uit verschillende boekhoudpakketen worden uitgelezen en worden doorgestuurd. Big data is hot, ook in de wereld van credit management software. Via deze software kunnen onder meer NAW-gegevens van debiteuren, factuurgegevens, crediteuren en voorraadlijsten worden verstrekt aan bijvoorbeeld banken en credit management bedrijven.

Mogelijk ongewenste gevolgen

Dit heeft tot gevolg dat wanneer je te laat je rekening betaalt het risico loopt om een lagere kredietwaardheidsscore of credit rating te krijgen. Het behoeft geen uitleg dat zo’n label negatieve gevolgen kan hebben, terwijl de context van de late betaling volledig wordt gemist. (Misschien dat de betaling wel is opgeschort wegens tekortschieten van de leverancier? Misschien is er wel overeenstemming over een latere betaling? Of misschien is het een boekhoudkundig foutje van de leverancier?)

Privacyrecht kan van toepassing zijn

Big data heeft zijn voordelen, maar kan dus ook negatieve gevolgen hebben. Op Follow The Money leg ik daarom uit dat het verwerken van big data op zichzelf genomen niet verkeerd is. Het kan echter risico’s met betrekking het privacyrecht meebrengen. Ook wanneer het gaat om bedrijfsgegevens. Immers: NAW-gegevens, bijvoorbeeld, kunnen persoonsgegevens betreffen. Dit geldt in ieder geval wanneer het natuurlijke personen betreffen zoals ZZP’ers of eenmanszaken. Met de verwerkte gegevens kan een zeer privacygevoelig beeld worden verkregen van die persoon. En dat mag niet zomaar: Bij verwerking van persoonsgegevens moet je voldoen aan de Wet bescherming persoonsgegevens.

Vereisten onder de Wet bescherming persoonsgegevens

Die wet stelt bijvoorbeeld dat je de betrokkene moet informeren over welke gegevens voor welke doeleinden worden verwerkt. En partijen die gebruik maken van deze software zullen afspraken moeten maken over het waarborgen van een zorgvuldige verwerking van persoonsgegevens jegens de betrokkene. Denk daarbij aan beveiliging van de gegevens, de verdeling van verantwoordelijkheid, hoe om te gaan met verzoeken om inzage en verwijdering van gegevens, en over de (verdere) verwerking van de gegevens.

Maar is het doorgeven van persoonsgegevens wel een verwerking?

In het geval dat Follow The Money onder de loep neemt lijkt het aan al dit te schorten: er zou geen verwerking van persoonsgegevens plaatsvinden omdat de software slechts als ‘doorgeefluik’ zou fungeren, en dus zou de Wet bescherming persoonsgegevens niet van toepassing zijn. Deze vlieger gaat niet op: “verwerking” van persoonsgegevens is een breed begrip: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens is aan te merken als een verwerking van persoonsgegevens. De wet noemt zelfs, in een niet-limitatieve opsomming, dat “verstrekken door middel van doorzending” een verwerking van persoonsgegevens is.

Privacyrecht

Wel moet er sprake zijn van enige feitelijke macht over de persoonsgegevens. Dat betekent niet dat er altijd menselijk tussenkomst moet zijn, aangezien ook volledig geautomatiseerde vormen van verwerking een “verwerking” van persoonsgegevens kan betreffen. Wel moet het mogelijk zijn om enige invloed uit te oefenen op de verwerking. Louter doorvoeren zonder invloed is dus geen verwerking van persoonsgegevens, maar wanneer ingegrepen kan worden in het verwerkingsproces wel. In dit geval is er in mijn optiek sprake van dat laatste: de software geeft de mogelijkheid om met “een druk op de knop” (invloed) bepaalde (invloed) informatie uit het boekhoudpakket te verstrekken aan de aangesloten (invloed) derden.

Zorg voor waarborgen voor privacy

Real time inzicht in financiële bedrijfsgegevens kan zeker interessant zijn, en de verwerking daarvan is mogelijk. Maar dan moet wel zijn voldaan aan de vereisten van de Wet bescherming persoonsgegevens, zodat een zorgvuldige verwerking van persoonsgegevens en het privacyrecht gewaarborgd is. Zonder die waarborgen wordt credit management een wild westen waarvan de gevolgen niet te overzien zijn.

Let er dus op dat de betrokkene wordt geïnformeerd, afspraken met derden worden gemaakt over, onder meer, de (verdere) verwerking. Zorg ten slotte voor een Privacy Impact Assessment, zodat alle risico’s duidelijk zijn. Op deze manier kan het privacyrecht worden gewaarborgd.

Naar blog overzicht

IT-jurist LAWFOX

Wouter Dammers / Over de auteur

Wouter is IT-advocaat en oprichter van LAWFOX Advocaten. Hij is advocaat sinds 2009 en is gespecialiseerd in geschillen over IT-projecten, auteursrecht op software (waaronder open source), online grondrechten en Web3 (NFT, crypto, blockchain en metaverse). Hij is ook pionier op het gebied van legal design, waarmee hij complexe juridische en technische informatie begrijpelijk maakt. Klanten omschrijven hem als praktisch, flexibel en vakkundig. Wouter is tevens bestuurslid van de Vereniging voor Informaticarecht Advocaten.