De Autoriteit Persoonsgegevens (AP) legt Experian Nederland een boete van 2,7 miljoen euro op wegens onrechtmatig gebruik van persoonsgegevens.
De Autoriteit Persoonsgegevens (AP) heeft Experian Nederland, gespecialiseerd in kredietrapportage en data-analyse, een boete opgelegd van 2,7 miljoen euro. Het bedrijf verstrekte tot 1 januari 2025 kredietbeoordelingen aan klanten en gebruikte daarvoor persoonsgegevens, zoals informatie over betalingsachterstanden, openstaande schulden en faillissementen. Volgens de AP maakte Experian daarbij onterecht gebruik van deze gegevens en informeerde het betrokkenen onvoldoende. Het bedrijf erkent de fouten en gaat bijgevolg niet in beroep.
Kredietbeoordeling zonder medeweten
Experian stelde tot 1 januari 2025 kredietwaardigheidsrapporten op voor klanten zoals webshops, telecombedrijven en verhuurders. Op basis van onder andere betaalgedrag, openstaande schulden en faillissementen bepaalde het bedrijf of een persoon kredietwaardig was. Deze rapporten speelden een rol bij beslissingen over bijvoorbeeld het toestaan van gespreid betalen of het aangaan van een telefoonabonnement.
De kredietscores die Experian opstelde, hadden directe gevolgen voor consumenten. Een hoge score kon leiden tot gunstigere voorwaarden, zoals een lagere rente. Een lage score kon juist betekenen dat iemand werd afgewezen of een hogere borg moest betalen.
De Autoriteit Persoonsgegevens (AP) startte het onderzoek naar Experian na binnengekomen klachten van consumenten. Die ontdekten pas achteraf dat hun kredietscore de reden was voor afwijzing of hogere kosten bij bijvoorbeeld het wisselen van energieleverancier. Volgens AP-voorzitter Aleid Wolfsen konden mensen daardoor niet tijdig controleren of de informatie juist was.
Onvoldoende transparantie
Uit het onderzoek blijkt dat Experian persoonsgegevens verzamelde uit diverse bronnen, waaronder het Handelsregister en commerciële partijen zoals telecombedrijven. Het bedrijf bouwde daarmee een omvangrijke database op, zonder voldoende aan te tonen waarom bepaalde gegevens nodig waren. Volgens de AP ging het in sommige gevallen om gevoelige informatie waarvan het gebruik niet voldoende was onderbouwd.
lees ook
Sunweb Group erkent datalek na phishingaanval via externe e-mailserver
Daarnaast liet Experian consumenten onvoldoende weten dat hun gegevens werden verwerkt voor kredietbeoordelingen. Daarmee schond het bedrijf de informatieplicht onder de privacywetgeving.
Experian erkent de fouten en gaat niet in beroep tegen de boete. Het bedrijf is inmiddels gestopt met de betreffende activiteiten in Nederland. Voor het einde van dit jaar zal het de volledige database met verzamelde persoonsgegevens verwijderen.